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ΕΦΗΜΕΡΙΣ ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ 

ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ 

ΤΕΥΧΟΣ ΠΡΩΤΟ Αρ. Φύλλου 59 


Α ΠΟΦΑΣΕΙ Σ 

Πλαίσιο αρχών λειτουργίας και κριτηρίων αξιολόγη¬ 
σης της οργάνωσης και των Συστημάτων Εσωτερι¬ 
κού Ελέγχου των πιστωτικών και χρηματοδοτικών 
ιδρυμάτων και σχετικές αρμοδιότητες των διοικητι¬ 
κών τους οργάνων. 

ΤΡΑΠΕΖΑ ΤΗΣ ΕΑΑΑΔΟΣ 
Ο ΔΙΟΙΚΗΤΗΣ ΤΗΣ ΤΡΑΠΕΖΑΣ ΤΗΣ ΕΑΑΑΔΟΣ 
(Πράξη Διοικητή υπ’ αριθμ. 2577/9.3.2006) 

Αφού έλαβε υπόψη: 

α) τον α.ν. 1665/1951, όπως ισχύει, περί ελέγχου και 
λειτουργίας τραπεζών, 

β) το άρθρο 1 του ν. 1266/1982 «Όργανα ασκήσεως της 
νομισματικής, πιστωτικής και συναλλαγματικής πολιτι¬ 
κής και άλλες διατάξεις», 

γ) τα άρθρα 18, 21 και 22 του ν. 2076/1992 «Ανάληψη 
και άσκηση δραστηριότητας πιστωτικών ιδρυμάτων και 
άλλες συναφείς διατάξεις», όπως ισχύουν, 
δ) το άρθρο 55Α του Καταστατικού της Τράπεζας της 
Ελλάδος, που αψορά τις εποπτικές της αρμοδιότητες 
και την επιβολή κυρώσεων, 
ε) τις διατάξεις του ν. 3016/2002 περί της εταιρικής 
διακυβέρνησης, 

στ) τις διατάξεις της ΠΔ/ΤΕ 2438/6.8.1998 για το 
«Πλαίσιο αρχών λειτουργίας και κριτηρίων αξιολόγησης 
των Συστημάτων Εσωτερικού Ελέγχου των πιστωτι¬ 
κών ιδρυμάτων και προσδιορισμός αρμοδιοτήτων των 
οργάνων τους στον τομέα του Εσωτερικού Ελέγχου», 
όπως αυτή τροποποιήθηκε με τις αποφάσεις της Ε.Τ.Π.Θ. 
154/9/18.7.2003 και 193/1/11.3.2005, 
ζ) τις διατάξεις της ΠΔ/ΤΕ 2563/19.7.2005, σχετικά με 
τα στοιχεία που υποβάλλουν τα πιστωτικά ιδρύματα 
στην Τράπεζα της Ελλάδος για την άσκηση ελέγχου 
φερεγγυότητας, ρευστότητας και αποδοτικότητας, 
η) τις διατάξεις του ν. 2331/1995 όπως τροποποιήθηκε 
με το ν. 3424/2005 για την πρόληψη της χρησιμοποίησης 
του χρηματοπιστωτικού συστήματος με σκοπό τη νο¬ 
μιμοποίηση εσόδων από εγκληματικές δραστηριότητες 
και τη σχετική Εγκύκλιο της Τράπεζας της Ελλάδος 
16/2.8.2004, 

θ) τη σκοπιμότητα μη επικάλυψης των σχετικών με τα 
συστήματα εσωτερικού ελέγχου ειδικών ρυθμίσεων 
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(ν. 3016/2002 και σχετική υπ’ αριθμ. 2453/30.6.2003 επι¬ 
στολή της Επιτροπής Κεφαλαιαγοράς), 

ι) τη σκοπιμότητα προσαρμογής των αρχών και κρι¬ 
τηρίων που διέπουν τα συστήματα εσωτερικού ελέγχου 
των πιστωτικών και χρηματοδοτικών ιδρυμάτων προς 
τις εποπτικής φύσεως εξελίξεις, καθώς και την ανάγκη 
περαιτέρω εξειδίκευσης επί μέρους θεμάτων ιδίως ως 
προς τη διαχείριση των κινδύνων και τη συμμόρφωση 
προς το εκάστοτε ισχύον θεσμικό και κανονιστικό πλαί- 
σισ, απσφασίζσυμε: 

1. Να καθορίσει τις βασικές γενικές αρχές και κριτήρια, 
τα σποία θα πρέπει να πληρούνται από κάθε πιστωτικό 
ίδρυμα και από τα χρηματοδοτικά ιδρύματα, που επο¬ 
πτεύονται από την Τράπεζα της Ελλάδος, προκειμένου 
να διασφαλίζεται ότι διαθέτουν, σε ατομικό επίπεδο 
καθώς και σε επίπεδο ομίλου, αποτελεσματική οργα¬ 
νωτική δομή και επαρκές Σύστημα Εσωτερικού Ελέγχου 
(ΣΕΕ), που θα περιλαμβάνει τις λειτουργίες Εσωτερικής 
Επιθεώρησης, Διαχείρισης Κινδύνων και Κανονιστικής 
Συμμόρφωσης. 

2. Να επισημάνει ότι οι βέλτιστες αρχές της εταιρικής 
διακυβέρνησης αποτελούν αναπόσπαστο τμήμα του ΣΕΕ 
των πιστωτικών και των χρηματοδοτικών ιδρυμάτων. 

3. Η επάρκεια της οργανωτικής δομής και του Συστή¬ 
ματος Εσωτερικού Ελέγχου των πιστωτικών ιδρυμάτων 
αξιολογούνται από την Τ ράπεζα της Ελλάδος, με βάση 
τσ άρθρο 18 του ν. 2076/1992, όπως εκάστοτε ισχύει, 
σύμφωνα με τις αρχές που καθορίζονται στην παρούσα 
Πράξη. 

I. ΕΙΣΑΓΩΓΗ 

Α. Πεδίο εφαρμογής 

1. Οι διατάξεις της παρούσας Πράξης εφαρμόζονται: 

1.1. Σε όλα τα πιστωτικά ιδρύματα που έχουν έδρα 
στην Ελλάδα, περιλαμβανομένων των υποκαταστημά¬ 
των τους στο εξωτερικό. 

1.2. Σε όλα τα χρηματοδοτικά ιδρύματα που λαμβάνουν 
άδεια λειτουργίας και εποπτεύονται από την Τ ράπεζα της 
Ελλάδος σε ατομική βάση. Όλες οι αναφορές των διατά¬ 
ξεων της παρούσας σε πιστωτικά ιδρύματα, που αφορούν 
υποχρεώσεις σε ατομική βάση, νοούνται, κατά κανόνα και, 
ως αναφορές στα χρηματοδοτικά ιδρύματα. 

2. Σε επίπεδο ομίλου κατά τα ειδικότερα οριζόμενα 
στο Κεφ. III «Βασικές αρχές και κριτήρια σε επίπεδσ 
Ομίλου». 
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3.1. Τα υποκαταστήματα των πιστωτικών ιδρυμάτων 
με έδρα σε χώρα μέλος του Ευρωπαϊκού Οικονομικού 
Χώρου (Ε.Ο.Χ.) δεν υπόκεινται στο πεδίο εφαρμογής 
της παρούσας Πράξης, άπως επίσης και τα υποκατα¬ 
στήματα πιστωτικών ιδρυμάτων με έδρα σε χώρα εκτάς 
του Ε.Ο.Χ., εφάσον έχει αναγνωριστεί απά την Τράπεζα 
της Ελλάδος ότι υπόκεινται σε ισοδύναμο καθεστώς 
εποπτείας, με βάση τις διατάξεις της ΠΔ/ΤΕ 2461/2000, 
όπως ισχύει. 

3.2. Η πιο πάνω εξαίρεση δεν καλύπτει τις διατάξεις 
που αφορούν: 

3.2.1. Τις διαδικασίες για την πρόληψη και την κατα¬ 
στολή της νομιμοποίησης εσόδων από εγκληματικές 
δραστηριότητες και της χρηματοδότησης της τρομο¬ 
κρατίας. 

3.2.2. Τις διαδικασίες για τη διασφάλιση της διαφά¬ 
νειας των συναλλαγών για την επαρκή ενημέρωση των 
συναλλασσομένων. 

3.2.3. Κάθε άλλη υποχρέωση που, με βάση την εκά- 
στοτε ισχύουσα νομοθεσία, επιφυλάσσεται στις αρμο¬ 
διότητες της χώρας υποδοχής. 

3.3. Τα υποκαταστήματα των αλλοδαπών πιστωτικών 
ιδρυμάτων γνωστοποιούν στην Τράπεζα της Ελλάδος 
τις διαδικασίες εσωτερικού ελέγχου που εφαρμόζουν, 
καθώς και τα συμπεράσματα του ελέγχου της εποπτικής 
αρχής της χώρας έδρας και των εξωτερικών ελεγκτών 
σε σχέση με τις δραστηριότητες του υποκαταστήματος 
που αφορούν τις διατάξεις της ως άνω παρ. 3.2. 

Β. Ορισμός και στόχοι Συστήματος Εσωτερικού Ελέγχου 

1. Το Σύστημα Εσωτερικού Ελέγχου αποτελεί σύνο¬ 
λο ελεγκτικών μηχανισμών και διαδικασιών που καλύ¬ 
πτει σε συνεχή βάση κάθε δραστηριότητα του πιστω¬ 
τικού ιδρύματος και συντελεί στην αποτελεσματική και 
ασφαλή λειτουργία του. 

2. Ειδικότερα αποβλέπει στη διασφάλιση των ακόλου¬ 
θων ιδίως στόχων: 

2.1. Τη συνεπή υλοποίηση της επιχειρησιακής στρα¬ 
τηγικής με αποτελεσματική χρήση των διαθέσιμων πό¬ 
ρων. 

2.2. Την αναγνώριση και αντιμετώπιση των πάσης φύ- 
σεως κινδύνων που αναλαμβάνονται, περιλαμβανομένου 
και του λειτουργικού κινδύνου. 

2.3. Την διασφάλιση της πληρότητας και της αξιοπι¬ 
στίας των στοιχείων και πληροφοριών που απαιτούνται 
για τον ακριβή και έγκαιρο προσδιορισμό της χρηματο¬ 
οικονομικής κατάστασης του πιστωτικού ιδρύματος και 
την παραγωγή αξιόπιστων οικονομικών καταστάσεων. 

2.4. Τη συμμόρφωση με το θεσμικό πλαίσιο που διέπει 
τη λειτουργία του, περιλαμβανομένων των εσωτερικών 
κανονισμών και των κανόνων δεοντολογίας. 

2.5. Την πρόληψη και την αποφυγή λανθασμένων ενερ¬ 
γειών και παρατυπιών που θα μπορούσαν να θέσουν σε 
κίνδυνο τη φήμη και τα συμφέροντα του πιστωτικού 
ιδρύματος, των μετόχων και των συναλλασσομένων με 
αυτό. 

II. ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΚΑΙ ΚΡΙΤΗΡΙΑ ΑΞΙΟΑΟΓΗΣΗΣ ΤΗΣ 
ΟΡΓΑΝΩΤΙΚΗΣ ΔΟΜΗΣ ΤΟΥ ΣΕΕ 

Γ ενικά 

1. Κάθε πιστωτικό ίδρυμα διαθέτει καταγεγραμμένη, 
τεκμηριωμένη και εγκεκριμένη από το Δ.Σ. Επιχειρησι¬ 
ακή Στρατηγική με χρονικό ορίζοντα τουλάχιστον ενός 
έτους και σαφείς στόχους, τόσο για το ίδιο πιστωτικό 


ίδρυμα όσο και για τον όμιλο του οποίου είναι επικε¬ 
φαλής, που αναφέρεται ιδίως στα ακόλουθα: 

1.1. Καταγραφή και ιεράρχηση των άμεσων και μελλο¬ 
ντικών επιχειρησιακών στόχων. 

1.2. Διαφανή διάρθρωση και επαρκή τεκμηρίωση της 
επιχειρηματικής δραστηριότητας στο εσωτερικό και 
εξωτερικό και κατάλληλες αναφορές που θα καθιστούν 
δυνατή την κατανόηση της δομής του πιστωτικού ιδρύ¬ 
ματος και του ομίλου, τον έλεγχο από τις αρμόδιες 
εποπτικές αρχές, καθώς και την υλοποίηση της υιοθε- 
τηθείσας πολιτικής διαχείρισης κινδύνων σε επίπεδο 
ομίλου. 

1.3. Προϋπολογισμό για το είδος και τον όγκο των 
δραστηριοτήτων, καθώς και τα προβλεπόμενα οικονο¬ 
μικά αποτελέσματα. 

1.4. Τα αποδεκτά όρια και το είδος των κινδύνων που 
πρόκειται να αναληφθούν, οι παραδοχές με βάση τις 
οποίες εκτιμώνται και η κάλυψή τους από τα ίδια κε¬ 
φάλαια. 

2. Για την αποτελεσματικότητα του ΣΕΕ ως συνόλου, 
θα πρέπει να διασφαλίζεται ιδίως ότι: 

2.1. Είναι επαρκώς τεκμηριωμένο και λεπτομερώς 
καταγεγραμμένο ως προς τα σημεία ελέγχου και τις 
διαδικασίες. 

2.2. Είναι κατάλληλα προσαρμοσμένο προς το εύρος, 
τον όγκο, τους κινδύνους και την πολυπλοκότητα των 
εργασιών του ιδρύματος, του ομίλου συνολικά και των 
θυγατρικών, καθώς και προς τις ιδιαιτερότητες των 
χωρών στις οποίες δραστηριοποιείται. 

2.3. Καλύπτει πλήρως όλες τις δραστηριότητες και τις 
συναλλαγές του πιστωτικού ιδρύματος. 

2.4. Παρέχει δυνατότητα ελέγχου των εργασιών των 
οποίων η διεκπεραίωση ανατίθεται σε άλλες επιχει¬ 
ρήσεις (ουΐ3ουΓθΙη9) σύμφωνα με το Παράρτημα 1 της 
παρούσας Πράξης. 

2.5. Υποστηρίζεται από ολοκληρωμένο σύστημα διοι¬ 
κητικών πληροφοριών (ΜΙ8) και επικοινωνίας με σαφώς 
καθορισμένες ιεραρχικές γραμμές αναφοράς που θα 
επιτρέπουν την έγκαιρη ροή και την αξιοπιστία της 
απαιτούμενης πληροφόρησης σε κάθε λειτουργό ή δι¬ 
οικητικό όργανο για την εκτέλεση του έργου του. 

2.6. Προβλέπει τη διεξαγωγή από τα αρμοδίως επιφορ¬ 
τισμένα όργανα ή μονάδες, περιοδικών ή και έκτακτων 
ελέγχων, για τη διαπίστωση της συνεπούς εφαρμογής 
των κανόνων και διαδικασιών από όλες τις υπηρεσιακές 
μονάδες. 

2.7. Διαθέτει εσωτερική συνοχή των μηχανισμών ελέγ¬ 
χου για το σύνολο του πιστωτικού ιδρύματος και του 
ομίλου του. 

2.8. Προβλέπει διαδικασίες για την αξιολόγηση της 
επάρκειάς του, με κριτήρια: 

2.8.1. Τη συνέπεια της εφαρμογής των διαδικασιών. 

2.8.2. Τις ποσοτικές και ποιοτικές επιπτώσεις από 
παραβιάσεις των κανόνων ασφαλείας ή από λάθη και 
παραλήψεις στην εφαρμογή τους. 

2.8.3. Την ύπαρξη μηχανισμών άμεσης αναθεώρησης 
των διαδικασιών για την αντιμετώπιση των αδυναμιών 
που διαπιστώνονται από τις τακτικές ή έκτακτες αξι¬ 
ολογήσεις τους. 

3. Η Τ ράπεζα της Ελλάδος θεωρεί ιδιαίτερα χρήσιμη 
την ανάπτυξη μεθόδων αυτοαξιολόγησης από τις υπη¬ 
ρεσιακές μονάδες, υπό την προϋπόθεση υιοθέτησης 
καταγεγραμμένων αντικειμενικών κριτηρίων και τελικής 
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αξιολόγησής τους από τη Μονάδα Εσωτερικής Επιθε¬ 
ώρησης. 

Οργανωτική δομή - Διαδικασίες 

4. Για τη διασφάλιση αποτελεσματικής σργανωτικής 
δσμής και επάρκειας ταυ ΣΕΕ απαιτείται για κάθε δρα¬ 
στηριότητα αναλυτική περιγραφή και σαφής καθορισμός 
των αρμοδιστήτων και ορίων ευθύνης κάθε εμπλεκά- 
μενης υπηρεσιακής μονάδας και Επιτροπής, καθώς και 
αντίστοιχες διαδικασίες εξσυσισδάτησης. 

Ειδικάτερα απαιτείται: 

4.1. Η αναλυτική καταγραφή των διαδικασιών διεξαγω¬ 
γής κάθε εργασίας, πσυ κοινσποιείται στα αρμόδιο για 
την εκτέλεση και τον έλεγχό της προσωπικό. 

4.2. Η ενσωμάτωση σε όλσυς τσυς κανονισμούς διε¬ 
ξαγωγής των εργασιών τσυ πιστωτικσύ ιδρύματος, κα¬ 
τάλληλων μηχανισμών ελέγχσυ πσυ θα διασφαλίζσυν 
άτι όλες σι συναλλαγές είναι έγκυρες και νόμιμες, έχσυν 
εκτελεστεί σύμφωνα με όλσυς τσυς κανόνες λειταυργί- 
ας της κάθε υπηρεσιακής μονάδας, έχουν αξιολογηθεί 
ως προς τους κινδύνους που ενέχουν, έχουν διεκπε- 
ραιωθεί απά κατάλληλα εξουσιοδοτημένα και άμεσα 
εντσπιζάμενα άτσμα, έχσυν καταχωρηθεί στα πρσβλε- 
πάμενα για κάθε περίπτωση αρχεία και έχσυν ενταχθεί 
στα σύστημα δισικητικής πληροφόρησης. 

4.3. Η πρόβλεψη για άμεση ή έμμεση εμπλσκή δύο 
τουλάχιστον λειτουργών του πιστωτικού ιδρύματος σε 
κάθε δραστηριάτητα ή ελεγκτική λειτουργία (ίουι ογοδ 
ρΓίηοίρΙθ) μέχρι την ολοκλήρωσή της. Το πιστωτικό ίδρυ¬ 
μα, αξιολσγώντας τσ επίπεδα των κινδύνων, μπορεί κατ’ 
εξαίρεση από τις διατάξεις ταυ προηγσύμενσυ εδαφίου 
να προβλέπει απλοποιημένες καταγεγραμμένες διαδι¬ 
κασίες για σρισμένες κατηγσρίες συναλλαγών, με κα¬ 
θορισμό συγκεκριμένσυ ορίσυ συναλλαγών ή και άλλων 
πσιοτικών χαρακτηριστικών. 

4.4. Η συμβουλευτική (τουλάχιστον) συμμετοχή των 
Μονάδων Εσωτερικής Επιθεώρησης, Διαχείρισης Κιν¬ 
δύνων και Κανσνιστικής Συμμάρφωσης στα σχεδίασμά 
νέων προϊόντων και διαδικασιών σε θέματα που αφο¬ 
ρούν στη λήψη επιχειρηματικών αποφάσεων, καθώς 
και για την εκτίμηση του λειτουργικού κινδύνου που 
μπορεί να προκύψει, σε περιπτώσεις σημαντικών αλ¬ 
λαγών (συγχωνεύσεις, εξαγορές κ.λπ.), προκειμένου να 
ενσωματωθούν οι κατάλληλοι ελεγκτικοί μηχανισμοί, οι 
μηχανισμοί διαχείρισης κινδύνων και να διασφαλισθεί η 
συμβατάτητα με τους ισχύοντες κανόνες. 

Θέματα προσωπικού, διαχωρισμού καθηκόντων και 
σύγκρουσης συμφερόντων 

5. Καθορίζονται διαδικασίες διαχείρισης και διαρκούς 
εκπαίδευσης του ανθρώπινου δυναμικού, έτσι ώστε η 
στελέχωση κάθε θέσης, εργασίας ή ευθύνης να γίνεται 
από πρόσωπα που διαθέτουν τις κατάλληλες γνώσεις 
και ικανάτητες με τη θέσπιση των πλέον ενδεδειγμένων 
εκάστοτε κριτηρίων πράσληψης και εξέλιξης. 

6. Οι αμοιβές των στελεχών και ιδίως αυτών που δι¬ 
αθέτουν προϊόντα και υπηρεσίες ή διαχειρίζονται τα 
διαθέσιμα κεφάλαια του ιδρύματος διαμορφώνονται με 
συνεπή συνεκτίμηση της αρχής αποφυγής της παροχής 
κινήτρων για την ανάληψη υπερβολικών κινδύνων ή τον 
προσπορισμό βραχυπράθεσμου οφέλους. 

7. Διασφαλίζεται ο αποτελεσματικές διαχωρισμός κα¬ 
θηκόντων με την υιοθέτηση κατάλληλων διαδικασιών, 
ώστε να αποφεύγονται περιπτώσεις ασυμβίβαστων ρό¬ 


λων, σύγκρουσης συμφερόντων μεταξύ των μελών του 
Δ.Σ., της Διοίκησης και των στελεχών, αλλά και μεταξύ 
αυτών, του πιστωτικού ιδρύματος και των συναλλασ- 
σομένων, καθώς και αθέμιτης χρήσης εμπιστευτικών 
πληροφοριών ή περιουσιακών στοιχείων. Γ ια το σκοπά 
αυτό λαμβάνονται υπόψη οι βέλτιστες διεθνείς πρακτι¬ 
κές εταιρικής διακυβέρνησης, οι σχετικές διατάξεις της 
χρηματιστηριακής νομοθεσίας, ο Κώδικας Δεοντολογίας 
για την παροχή Επενδυτικών Υπηρεσιών, καθώς και οι 
τυχάν σχετικές αποφάσεις των εποπτικών αρχών. 

8. Με κατάλληλες διαφοροποιήσεις στη διοικητική 
τους υπαγωγή και στις γραμμές διοικητικής αναφο¬ 
ράς διασφαλίζεται η ανεξαρτησία αφενός των οργά¬ 
νων ελέγχου απά τις ελεγχόμενες δραστηριότητες και 
τους λειτουργούς τους και αφετέρου της διαχείρισης 
κινδύνων από δραστηριότητες ανάληψης κινδύνων και 
τους λειτουργούς τους, έτσι ώστε: 

8.1. Οι λειτουργίες υποδοχής και διεκπεραίωσης αι¬ 
τημάτων πελατών, προώθησης και διάθεσης τραπεζι¬ 
κών προϊόντων στο κοινά (πιστώσεις, καταθετικά και 
επενδυτικά προϊόντα), διαπραγμάτευσης και εν γένει 
διενέργειας συναλλαγών (ίΓοηΐ Ιίηο) να είναι διοικητι¬ 
κά και λειτουργικά διαχωρισμένες απά τις λειτουργίες 
έγκρισης αιτημάτων, επιβεβαίωσης, λογιστικοποίησης 
και διακανονισμού συναλλαγών, καθώς και φύλαξης τίτ¬ 
λων ή άλλων περιουσιακών στοιχείων του ιδρύματος 
ή των πελατών. 

8.2. Ομοίως, διαχωρισμένες να είναι οι λειτουργίες 
διαχείρισης κινδύνων και ελέγχου αφενάς μεταξύ τους 
και αφετέρου απά τις πιο πάνω λειτουργίες. 

9. Διασφαλίζεται ο συστηματικές έλεγχος της πρά- 
σβασης μάνο εξουσιοδοτημένων ατόμων σε περιουσι¬ 
ακά και λογιστικά στοιχεία και εν γένει εμπιστευτικές 
πληροφορίες. 

10. Διασφαλίζεται με κατάλληλες διαδικασίες που 
θεσπίζονται απά το πιστωτικά ίδρυμα, η δυνατότητα 
πραγματοποίησης ανώνυμων αναφορών, καθώς και η 
προστασία των υπαλλήλων που μέσω αυτών ενημερώ¬ 
νουν το Δ.Σ. ή την Επιτροπή Ελέγχου (ή όπου αυτή δεν 
υφίσταται τον εξουσιοδοτημένο υπάλληλο της Μονάδας 
Εσωτερικής Επιθεώρησης) για σοβαρές παρατυπίες, 
παραλείψεις ή αξιάποινες πράξεις που υπέπεσαν στην 
αντίληψή τους. 

Συναλλαγές με πράσωπα που έχουν ειδική σχέση με 
το πιστωτικά ίδρυμα 

11. Ως προς τις συναλλαγές με τα φυσικά ή νομι¬ 
κά πράσωπα που έχουν ειδική σχέση με το πιστωτικά 
ίδρυμα, κατά την έννοια της ΠΔ/ΤΕ 2563/19.7.2005, όπως 
εκάστοτε ισχύει, διασφαλίζεται άτι: 

11.1. Υφίσταται λεπτομερής καταγραφή των άρων και 
διαδικασιών του πιστωτικού ιδρύματος για τις κάθε μορ¬ 
φής πιστοδοτήσεις ή συμμετοχές προς τα πρόσωπα που 
έχουν ειδική σχέση με το πιστωτικό ίδρυμα, ώστε: 

11.1.1. Οι όροι των σχετικών πιστοδοτήσεων να μην 
αποκλίνουν από τους όρους που εφαρμόζονται στις 
αντίστοιχες κατηγορίες λοιπών χρηματοδοτήσεων. 

11.1.2. Κάθε συμμετοχή ή πιστοδάτηση στα πιο πάνω 
πράσωπα να πραγματοποιείται μετά απά έγκριση του 
Διοικητικού Συμβουλίου ή απόφαση της Γ ενικής Συνέ¬ 
λευσης των μετόχων του πιστωτικού ιδρύματος, όπου 
κατά νάμο απαιτείται. 

12.1. Για τη διευκάλυνση της ομαλής χρηματοδοτικής 
κάλυψης των αναγκών της δραστηριάτητας των επι- 
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χειρήσεων που συμπεριλαμβάνονται στα πρόσωπα πσυ 
διατηρούν ειδική σχέση με το πιστωτικό ίδρυμα, κατά 
τα ανωτέρω, τσ Διοικητικό Συμβούλιο μπορεί να καθο¬ 
ρίζει ένα εύλογο όριο πιστοδοτήσεων μέχρι το οποίο 
δεν απαιτείται η προηγούμενη έγκριση του Δ.Σ., αλλά 
απλή εκ των υστέρων γνωστσποίηση της αντίστοιχης 
πιστοδότησης. 

12.2. Τα αναφερόμενα στην πιο πάνω παράγραφο πρό¬ 
σωπα που έχουν ειδική σχέση με το πιστωτικό ίδρυμα 
γνωστοποιούν στο Διοικητικό Συμβούλιο του πιστωτικού 
ιδρύματος το σύνολο του υφιστάμενου υπολοίπου των 
πιστοδοτήσεων τους από συνδεδεμένες με το πιστωτικό 
- χρηματοδστικό ίδρυμα επιχειρήσεις, κατά την έννοια 
του άρθρου 42ε του ν. 2190/1920, όπως ισχύει, εντός 20 
ημερών από το τέλος κάθε ημερολογιακού έτους. (Η 
υποχρέωση αυτή είναι ανεξάρτητη από την υπσβολή 
στσιχείων από το πιστωτικό ίδρυμα στην Τράπεζα της 
Ελλάδος). 

Παρεχόμενες υπηρεσίες προς πελάτες 

13. Για τη διασφάλιση της παροχής κατάλληλων υπη¬ 
ρεσιών πρσς τους πελάτες, ως αναπόσπαστο τμήμα του 
λειτουργικού κινδύνου, απαιτείται ιδίως: 

13.1. Η υιοθέτηση από τα πιστωτικά ιδρύματα των 
βέλτιστων πρακτικών, για την παροχή υπηρεσιών και 
προϊόντων που προσιδιάζουν στα χαρακτηριστικά του 
πελάτη. 

13.2. Η παρακολούθηση και αξιολάγηση του τράπου 
εξυπηρέτησης και ειδικάτερα των διαδικασιών παρου¬ 
σίασης και συμφωνίας των άρων συνεργασίας τους 
με το πιστωτικά ίδρυμα, κατά τις εκάστοτε ισχύουσες 
διατάξεις και ιδίως τη νομοθεσίας περί προστασίας 
καταναλωτή. 

13.3. Η ύπαρξη κατάλληλων διαδικασιών για την εξέτα¬ 
ση των καταγγελιών ή παραπάνων των πελατών κατά 
τις διατάξεις της ΠΔ/ΤΕ 2501/31.10.2002, όπως ισχύει, κα¬ 
θώς και τις λοιπές σχετικές διατάξεις της νομοθεσίας. 

13.4. Η διαφύλαξη των συμφερόντων και προστασία 
από αλλότρια χρήση των προσωπικών δεδομένων. Τα 
πιστωτικά ιδρύματα θέτουν στη διάθεση της Τράπε¬ 
ζας της Ελλάδος τις άδειες που χορηγούνται απά τις 
αρμόδιες αρχές για την τυχόν χρήση των εν λόγω δε¬ 
δομένων. Τα περιουσιακά στοιχεία των πελατών να φυ¬ 
λάσσονται και να τηρούνται αναλυτικά και ξεχωριστά 
από παρόμοια περιουσιακά στοιχεία του πιστωτικού 
ιδρύματος. 

13.5. Ο τακτικός έλεγχος της εφαρμογής των διαδικα¬ 
σιών που σχετίζονται με τη διαπίστωση της ακριβούς 
ταυτότητας των συναλλασσομένων. 

Πρόληψη και καταστολή της νομιμοποίησης εσόδων 
από εγκληματικές δραστηριότητες και της χρηματοδό¬ 
τησης της τρομοκρατίας 

14.1. Στο πλαίσιο των υποχρεώσεων σχετικά με την 
πρόληψη και καταστολή της νομιμοποίησης εσόδων από 
εγκληματικές δραστηριότητες και της χρηματοδότησης 
της τρομοκρατίας, υφίστανται κατάλληλη πολιτική και 
διαδικασίες, όπως εκάστοτε εξειδικεύονται με έγγραφα 
ή εγκυκλίους της Τράπεζας της Ελλάδος, που θα είναι 
συνεπείς προς τους στόχους προσέλκυσης πελατείας, 
τις χώρες δραστηριοποίησης και τα δίκτυα συναλλαγών 
πσυ χρησιμοποισύν, καθώς και μηχανογραφική υποστή¬ 
ριξη για την αξιολόγηση των πελατών ως προς τους 
κινδύνους που αντιπροσωπεύουν και την ανάλογη με 
τον κίνδυνο διαχείρισή τους. 


14.2. Υφίστανται διαδικασίες για τσν εντοπισμό των 
συναλλαγών, σι σπσίες δεν συνάδσυν με την γνώση 
πσυ έχει το πιστωτικό ίδρυμα για τον πελάτη και τη 
συναλλακτική του συμπεριφορά, τη διερεύνησή τους και 
την αναφορά τους, εφάσον απαιτείται, με κατάλληλη 
τεκμηρίωση και επάρκεια. 

14.3. Τα προληπτικσύ χαρακτήρα μέτρα στσν τομέα 
αυτό πρέπει να διέπονται από τις ίδιες αρχές που εφαρ¬ 
μόζονται σε σχέση με τσυς λοιπούς κινδύνους και να 
είναι προσαρμοσμένα στα μέγεθος και τη μορφή του 
πιστωτικού ιδρύματος. Ειδικότερα να διασφαλίζουν: 

14.3.1. Την κατανόηση από τα στελέχη και τις κατά 
περίπτωση αρμόδιες υπηρεσιακές μονάδες των κινδύ¬ 
νων, κατά κατηγορία πελατών και συναλλαγών ή και 
σε συνδυασμό τους, καθώς και της πολιτικής και των 
διαδικασιών που πρέπει να εφαρμόζονται. 

14.3.2. Την εφαρμογή κριτηρίων αποδοχής της συμ¬ 
βατικής σχέσης με τον πελάτη, την ταξινόμηση των 
πελατών κατά βαθμίδα κινδύνου και στη συνέχεια την 
παρακολούθηση της σχέσης αυτής (δραστηριότητας). 

14.3.3. Για την ενίσχυση της αποτελεσματικότητας της 
πολιτικής να προβλέπεται η, ετήσια αξισλόγηση των 
μεθοδολογιών και η προσαρμογή της εκπαίδευσης των 
εξσυσισδοτημένων υπαλλήλων προς τις εκάστοτε νέες 
συνθήκες και πρακτικές. 

Διαχείριση των κινδύνων. 

15. Κάθε πιστωτικά ίδρυμα διαθέτει καταγεγραμμένες 
πολιτική και διαδικασίες πσυ αντιστοιχούν στην Επιχει¬ 
ρησιακή του Στρατηγική, σχετικά με: 

15.1. την ανάληψη, την παρακολούθηση και τη δια¬ 
χείριση των κινδύνων (αγοράς, πιστωτικός, επιτοκίων, 
ρευστότητας, λειτσυργικός κ.λπ.) και τη διάκριση των 
συναλλαγών και πελατών κατά επίπεδο κινδύνου (όπως 
χώρα, επάγγελμα, δραστηριότητα), 

15.2. τον καθορισμό των εκάστοτε αποδεκτών ανω- 
τάτων ορίων ανάληψης κινδύνου συνολικά για κάθε εί¬ 
δος κινδύνου και περαιτέρω κατανομή καθενός εκ των 
ορίων αυτών κατά πελάτη, κλάδο, νόμισμα, υπηρεσιακή 
μονάδα κ.λπ. και 

15.3. τη θέσπιση ορίων παύσης ζημιογόνων δραστηρι¬ 
οτήτων ή άλλων διορθωτικών ενεργειών, 

που κοινοποιούνται έγκαιρα και εγγράφως, με τη μορ¬ 
φή εξειδικευμένων στόχων ή κατευθύνσεων, όπου απαι¬ 
τείται, σε όλα τα εντεταλμένα όργανα που εμπλέκονται 
στις διαδικασίες ανάληψης (ηεΚ οννηβΓδ), παρακολούθη¬ 
σης, αντιστάθμισης και μείωσης των κινδύνων. 

16. Καθορίζεται η ετήσια επαναξιολόγηση των κινδύ¬ 
νων και προσδιορίζεται ότι οι υψηλού κινδύνου περιοχές, 
ή οι πολύπλοκες συναλλαγές που καθορίζονται από 
κάθε πιστωτικά ίδρυμα καθώς και οι προβληματικές 
πιστοδοτήσεις θα ελέγχονται συχνάτερα. 

17. Για το σχεδίασμά, την ανάπτυξη και την παρακο- 
λσύθηση της πολιτικής κινδύνων κάθε πιστωτικό ίδρυμα 
διαθέτει μια εξειδικευμένη και ανεξάρτητη λειτουργία 
διαχείρισης των κινδύνων, που καλύπτει όλο το φάσμα 
των δραστηριοτήτων για όλες τις μορφές των κινδύνων, 
περιλαμβανομένου του λειτουργικού. 

18. Υφίστανται καταγεγραμμένες διαδικασίες ειδικό¬ 
τερα, ως προς: 

18.1. Τον περιοδικό εντοπισμό των σημαντικών ή αιφ¬ 
νίδιων μεταβολών στις παραμέτρους που διαμορφώ¬ 
νουν τους κινδύνους (οικονομικά μεγέθη, εξελίξεις στην 
αγορά, νομικό περιβάλλον κ.λπ.), την αξιολόγησή τους 
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και την αναφορά τους στα αρμόδια όργανα για τυχόν 
διορθωτικές ενέργειες, ιδίως όταν οδηγούν σε υπέρβα¬ 
ση των αποδεκτών ορίων. 

18.2. Την αντιστάθμιση (κάλυψη, μεταφορά, ασφάλιση) 
και λογιστικοποίηση της τυχόν ζημιάς. 

18.3. Την τιμολόγηση των προσφερόμενων προϊόντων 
και περιοδική επαναξιολόγησή της, ώστε να διασφαλί¬ 
ζεται ότι λαμβάνονται υπόψη όλες οι παράμετροι δια¬ 
μόρφωσης του κόστους, ο ανταγωνισμός, σι κίνδυνοι σε 
σχέση με τις αναμενόμενες αποδόσεις κλπ. 

19. Πριν από την επέκταση της δραστηριότητας του 
πιστωτικού ιδρύματος σε νέα χρηματοπιστωτικά προ¬ 
ϊόντα ή υπηρεσίες: 

19.1. Θα υπάρχουν τεκμηριωμένες αποφάσεις ενσωμά¬ 
τωσής τους στη στρατηγική ανάπτυξης του πιστωτικού 
ιδρύματος. 

19.2. Θα έχουν αναγνωρισθεί με ακρίβεια οι σχετικοί 
κίνδυνοι, συμπεριλαμβανομένου και του λειτουργικού 
κινδύνου. 

19.3. Θα έχει ολοκληρωθεί η ενσωμάτωση των αντί¬ 
στοιχων ελέγχων και διαδικασιών ή η προσαρμογή των 
υφιστάμενων στο σύστημα διαχείρισης κινδύνων και 
εσωτερικού ελέγχου, γενικότερα. 

20.1. Κατά τη λήψη επιχειρηματικών αποφάσεων για 
την ανάληψη σημαντικών κινδύνων (χορήγησης δανείων, 
αναδιάρθρωσης/ρύθμισης υφιστάμενων δανείων, συμ¬ 
μετοχών, επενδύσεων κ.λπ.), στην περίπτωση κινδύνων 
που δεν υπόκεινται σε προκαθορισμένες παραμέτρους, 
καθώς και στον καθορισμό σχετικών ορίων ανάληψης 
κινδύνων, διασφαλίζεται τουλάχιστον η συμμετοχή της 
καθ’ ύλην αρμόδιας υπηρεσιακής μονάδας και της Μο¬ 
νάδας Διαχείρισης Κινδύνων. 

20.2. Στις καταγεγραμμένες και εγκεκριμένες από το 
Δ.Σ. εσωτερικές διαδικασίες, προσδιορίζεται με πλη¬ 
ρότητα ο βαθμός, κατά τον οποίο η λήψη της τελικής 
απόφασης (ανωτέρω παρ. 20.1.) εξαρτάται από την ει¬ 
σήγηση της Μονάδας Διαχείρισης Κινδύνων. Κατά την 
αξιολόγηση του συστήματος διαχείρισης κινδύνων κάθε 
πιστωτικού ιδρύματος, η Τράπεζα της Ελλάδος λαμβάνει 
θετικά υπόψη την πρόβλεψη κλιμάκωσης της βαρύτη¬ 
τας της εν λόγω εισήγησης ανάλογα με το ύψος και 
την πολυπλοκότητα των αναλαμβανόμενων κινδύνων 
(άσκηση βέτο, αυξημένη βαρύτητα, απλός υπολογισμός 
σε πλειοψηφικό σύστημα κ.λπ.). 

20.3. Οι καταγεγραμμένες στα πρακτικά πιο πάνω ει¬ 
σηγήσεις τίθενται, όταν ζητηθούν, υπόψη των αρμόδιων 
ελεγκτικών οργάνων/υπαλλήλων της Τράπεζας της Ελ¬ 
λάδος, κατά τα προβλεπόμενα στη νομοθεσία (άρθρο 4 
του ν.δ. 588/1948 και άρθρο 4 του α.ν. 1665/1951). 

Συστήματα λογιστικής παρακολούθησης των εργασιών. 

21.1. Από το λογιστικό σύστημα που εφαρμόζει το πι¬ 
στωτικό ίδρυμα πρέπει γενικά να προκύπτει η πραγμα¬ 
τική εικόνα της οικονομικής κατάστασης του πιστωτικού 
ιδρύματος, να παρέχονται οι απαραίτητες για τη λήψη 
αποφάσεων πληροφορίες, καθώς και να διασφαλίζεται η 
κατάρτιση αξιόπιστων ετήσιων ή περιοδικών χρηματοοι¬ 
κονομικών καταστάσεων, σύμφωνα με τα προβλεπόμενα 
από το νόμο λογιστικά πρότυπα. 

21.2. Ειδικότερα, για τη διασφάλιση των ως άνω αρχών, 
καθώς και την ενίσχυση της συγκρισιμότητας της χρη¬ 
ματοοικονομικής πληροφόρησης και της αποτελεσμα- 
τικότητας της ασκούμενης εποπτείας, κρίνεται σκόπιμη 
η εφαρμογή των Διεθνών Λογιστικών Προτύπων από το 
σύνολο των πιστωτικών ιδρυμάτων. 


21.3. Πριν λογιστικοποιηθεί κάθε πράξη είτε ομοειδείς 
πράξεις ή λογιστικά γεγονότα ελέγχεται από τα αρ¬ 
μόδια όργανα η εγκυρότητα και συμφωνία τους, κατά 
τα προβλεπόμενα στους σχετικούς εσωτερικούς κανο¬ 
νισμούς του πιστωτικού ιδρύματος. Αξιολογώντας το 
επίπεδο των κινδύνων, το πιστωτικό ίδρυμα μπορεί κατ’ 
εξαίρεση να καθορίζει συγκεκριμένα όρια συναλλαγών, 
όπως μικρές ταμειακές συναλλαγές, για τα οποία δεν 
απαιτείται πρόσθετος έλεγχος πριν τη λογιστικοποίησή 
τους. 

21.4. Κάθε ελεγμένη, κατά τα ανωτέρω, πράξη ή πρά¬ 
ξεις καταχωρείται στο λογιστικό σύστημα έγκαιρα, με 
ακρίβεια και με όλες τις απαραίτητες λεπτομέρειες, 
σύμφωνα με τα προβλεπόμενα από τα εφαρμοζόμενα 
λογιστικά πρότυπα και αρχές. 

21.5. Τόσο η αρχική αναγνώριση όσο και οι μεταγε¬ 
νέστερες αποτιμήσεις κάθε περιουσιακού στοιχείου ή 
υποχρέωσης, καθώς και η επίδραση των τελευταίων 
στα αποτελέσματα ή την καθαρή θέση, θα πραγματο¬ 
ποιούνται με τον τρόπο που προβλέπεται στα ισχύοντα 
λογιστικά πρότυπα. 

21.6. Θι ανοικτές θέσεις από συναλλαγές που ενέχουν 
κινδύνους αγοράς θα συμφωνούνται τουλάχιστον κάθε 
μήνα (ΓθοοηοίΙίαΐίοη). 

21.7. Διασφαλίζεται με κατάλληλες διαδικασίες η συ¬ 
στηματική και ασφαλής τήρηση των αρχείων για χρο¬ 
νικό διάστημα όχι μικρότερο, από τον κατά περίπτωση 
προβλεπόμενα από το θεσμικό πλαίσιο, ελάχιστο χρόνο 
και με τρόπο που θα επιτρέπει την πραγματοποίηση 
ελέγχων μεταγενέστερα (ενσωμάτωση αυόίΐ ΐΓαίΙε) και 
την αναπαραγωγή όλων των συναλλαγών κατά χρο¬ 
νολογική σειρά, την υποστήριξη κάθε καταχωρημένου 
στοιχείου με πρωτότυπα δικαιολογητικά και την τεκ¬ 
μηρίωση οποιοσδήποτε μεταβολής στα υπόλοιπα των 
λογαριασμών, με αναλυτικά στοιχεία για τις κινήσεις 
που μεσολάβησαν. 

21.8. Διενεργούνται περιοδικοί αλλά και έκτακτοι έλεγ¬ 
χοι επί των διενεργούμενων λογιστικών καταχωρίσε¬ 
ων, ώστε να παρακολουθείται η πιστή εφαρμογή των 
εγκεκριμένων μεθόδων αποτίμησης των στοιχείων του 
ισολογισμού και αναγνώρισης του αποτελέσματος. 

21.9. Ειδικότερα όσον αφορά τις υποβαλλόμενες στις 
εποπτικές αρχές οικονομικές πληροφορίες και στοιχεία 
θα διασφαλίζεται ότι: 

21.9.1. Είναι πλήρεις, έγκυρες και βασίζονται σε λογι¬ 
στικά στοιχεία, και προκειμένου περί εξωλογιστικών 
υπολογισμών ή εκτιμήσεων, ότι έχουν διενεργηθεί με 
ορθό και κατάλληλα τεκμηριωμένο τρόπο. 

21.9.2. Υποβάλλονται αρμοδίως εντός των καθορισμέ¬ 
νων προθεσμιών. 

21.10. Υπάρχουν καταγεγραμμένες διαδικασίες για την 
επιλογή και την απόκτηση του κατάλληλου εξοπλισμού 
και λογισμικού καθώς και για την επαρκή στελέχωση 
των αρμοδίων υπηρεσιών, ανάλογα με τις εκάστοτε 
επιχειρησιακές ανάγκες, τις προοπτικές εξέλιξης του 
μεγέθους και της φύσης των εργασιών και τις οικο¬ 
νομικές δυνατότητες του πιστωτικού-χρηματοδοτικού 
ιδρύματος, προκειμένου να διασφαλίζεται, ανά πάσα 
στιγμή, η επαρκής και αποτελεσματική λογιστική και 
μηχανογραφική υποστήριξη των εργασιών του. 

21.11. Υφίστανται τα απαραίτητα μέσα και εφεδρικά 
αρχεία δεδομένων, στο πλαίσιο της απαιτούμενης δια¬ 
σφάλισης για τη συνέχιση της επιχειρηματικής δράστη- 




608 


ΕΦΗΜΕΡΙΣ ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ (ΤΕΥΧΟΣ ΠΡΩΤΟ) 


ριότητας του πιστωτικού ιδρύματος (Κεφ. IV - ενότητα 
Α - παρ. 2.8.2.). 

21.12. Η Τράπεζα της Ελλάδος αναμένει ότι τα πιστωτι¬ 
κά ιδρύματα θα τηρούν συστήματα που θα διασφαλίζουν 
την παρακολούθηση, συνολικά, ανά πελάτη, των υπολοί¬ 
πων και των συναλλαγών που αφορούν ιδίως δάνεια και 
καταθέσεις, τόσο για την αποτελεσματική διαχείριση 
κινδύνων, όσο και για την υποβολή των απαιτούμενων 
στοιχείων προς τις εποπτικές αρχές, το Ταμείο Εγγύ¬ 
ησης Καταθέσεων και άλλους φορείς. 

Συστήματα πληροφορικής. 

22.1. Η λειτουργία των Συστημάτων Πληροφορικής 
στοχεύει, αφενός στην αποτελεσματική υποστήριξη 
της επιχειρησιακής στρατηγικής των πιστωτικών ιδρυ¬ 
μάτων, αφετέρσυ στην ασφαλή διακίνηση, επεξεργασία 
και αποθήκευση των κρισίμων επιχειρησιακών πληρο- 
φσριών. Παράλληλα, η αυξημένη ανάγκη χρήσης συστη¬ 
μάτων πληρσφορικής από τα πιστωτικά ιδρύματα, σε 
συνδυασμό με την τυχόν ανάθεση κρισίμων έργων πλη- 
ροφσρικής σε τρίτους, ενισχύει συγκεκριμένες κατηγο¬ 
ρίες κινδύνων με σημαντικότερη αυτή ταυ λειτσυργικού 
κινδύνσυ. Οι κίνδυνσι αυτσί πρέπει να προσδιορίζσνται, 
να εντσπίζονται έγκαιρα και να αντιμετωπίζονται απο¬ 
τελεσματικά. 

22.2. Στο πλαίσιο της αποτελεσματικής διαχείρισης 
των κινδύνων πσυ απορρέσυν από τη λειτουργία των 
Συστημάτων Πληροφσρικής, τα πιστωτικά ιδρύματα υλο- 
ποισύν τσ πλαίσιο αρχών ασφαλούς και αποτελεσμα¬ 
τικής λειτσυργίας των συστημάτων πληρσφσρικής πσυ 
αναφέρεται στο Παράρτημα 2 της παρούσας Πράξης. 

Κανονιστική συμμόρφωση. 

23.1. Τσ Δ.Σ. του πιστωτικού ιδρύματος διασφαλίζει την 
ύπαρξη πσλιτικής για την κανονιστική συμμόρφωση και 
αποτελεσματικσύ συστήματσς εφαρμσγής της, πσυ αξι- 
ολογσύνται από αυτό ετησίως. Η πσλιτική κανονιστικής 
συμμόρφωσης απσσκσπεί: 

23.1.1. στην αντιμετώπιση των πάσης φύσεως επιπτώ¬ 
σεων από τυχόν αδυναμία συμμόρφωσης του πιστωτι¬ 
κού ιδρύματος και των εταιρειών του ομίλου του και 
των επιχειρήσεων πρσς τις σπσίες έχουν εκχωρηθεί 
δραστηριότητες (Παράρτημα 1 της παρούσας Πράξης) 
προς το ισχύον νομοθετικό και κανονιστικό πλαίσισ, κα¬ 
θώς επίσης τους κώδικες δεοντολογίας στους οποίους 
τα πιστωτικά ιδρύματα προσχωρούν και 

23.1.2. στη διαχείριση περιπτώσεων σύγκρσυσης συμ¬ 
φερόντων. Διευκρινίζεται ότι η αξιολόγηση αυτή δεν 
επεκτείνεται στην αξιολόγηση της επάρκειας και απο- 
τελεσματικότητας του έργου των καθ’ ύλην αρμοδίων 
μονάδων. 

23.2. Για την υλοποίηση της ως άνω πολιτικής θεσπίζεται 
Λειτσυργία ή Μονάδα Κανονιστικής Συμμόρφωσης, κατά 
τα ειδικότερα αναφερόμενα στα κεφ. V - ενότητα γ. 

III. Βασικές αρχές και κριτήρια σε επίπεδο ομίλου. 

1. Τα πιστωτικά ιδρύματα οφείλουν να λαμβάνουν όλα 
τα απαραίτητα μέτρα για την αποτελεσματική ενσωμά¬ 
τωση στη στρατηγική ταυ ομίλου τους, σχετικά με τα 
θέματα σργάνωσης και ΣΕΕ, των επιχειρήσεων του χρη¬ 
ματοπιστωτικού τομέα, περιλαμβανομένων των ασφαλι¬ 
στικών επιχειρήσεων, των οποίων διατηρούν τον έλεγχο, 
κατά την έννοια του άρθρου 2 του ν. 2076/1992, όπως 
ισχύει, ή πσυ υπόκεινται σε εποπτεία σε ενοπσιημένη 
βάση σύμφωνα με τσ π.δ. 267/1995, όπως ισχύει και ενο- 


πσιούνται με την σλική ή αναλογική μέθοδο. Ιδιαίτερα 
θα πρέπει να διασφαλίζεται ότι: 

1.1. Τα συστήματα και οι διαδικασίες που εφαρμόζουν 
οι παραπάνω επιχειρήσεις, καθώς και σι νεσαπσκτσύ- 
μενες επιχειρήσεις (από συγχωνεύσεις, εξαγορές) είναι 
συμβατά μεταξύ τους και είναι προσαρμοσμένα τόσο 
στις ανάγκες της οργανωτικής δομής του ομίλου όσο 
και στις κατ’ ιδίαν ιδιαιτερότητες κάθε εταιρείας ταυ 
ομίλου ή ότι καθορίζεται ρεαλιστικό, κατά περίπτωση, 
χρσνοδιάγραμμα αντίστοιχης προσαρμογής τους. 

1.2. Οι σημαντικοί κίνδυνοι στους οποίους εκτίθενται 
παρακολουθούνται και ελέγχονται σε επίπεδσ σμίλσυ. 

1.3. Οι πισ πάνω επιχειρήσεις διαθέτουν επαρκείς δι¬ 
αδικασίες για την παραγωγή και διάθεση των πληρο- 
φσριών και στσιχείων πσυ είναι απαραίτητα για την 
εποπτεία σε ενσπσιημένη βάση και για την υλσποίηση 
των αρμοδιστήτων που προβλέπονται στις διατάξεις της 
παρούσας και, ιδίως, για την εφαρμογή των διατάξεων 
του νέου πλαισίου για την κεφαλαιακή επάρκεια των 
πιστωτικών ιδρυμάτων (Βασιλεία II). 

2. Για την ενίσχυση της αποτελεσματικής εφαρμσγής 
των ανωτέρω γενικών αρχών, οι Επιτροπές και οι υπη¬ 
ρεσιακές μανάδες πσυ πρσβλέπσνται στην παρσύσα 
Πράξη ή συστήνονται από τα ίδια τα πιστωτικά ιδρύμα¬ 
τα, διατυπώνσυν γνώμη για την επιλσγή και την καταλ¬ 
ληλότητα των επικεφαλής των αντίστσιχων μονάδων 
των θυγατρικών και αξιολογούν την αποδοτικότητα των 
μονάδων αυτών. 

3. Το Δ.Σ. του μητρικού πιστωτικού ιδρύματος δια¬ 
σφαλίζει, με τον κατάλληλο συντονισμό και συμφωνί¬ 
ες, ότι οι αρμοδιότητες της επίβλεψης και της ενιαίας 
στρατηγικής δεν αναιρούν τις ευθύνες των διοικητικών 
οργάνων των θυγατρικών επιχειρήσεων και δεν οδη¬ 
γούν σε μη απαιτσύμενες επικαλύψεις. Επίσης, καθσρίζει 
την κατανσμή ευθυνών, τα μέτρα συντονισμσύ και την 
ανάθεση, όπου απαιτείται, ειδικών αρμοδιοτήτων σε 
εταιρίες ταυ ομίλου ως προς τη διαχείριση ιδίως των 
σημαντικών κινδύνων, τσν εσωτερικό έλεγχσ, τη λει- 
τσυργία κανσνιστικής συμμόρφωσης και την εφαρμσγή 
των διατάξεων περί της πρόληψης και καταστολής της 
νομιμοποίησης εσόδων από εγκληματικές δραστηριότη¬ 
τες και της χρηματοδότησης της τρομσκρατίας. 

4. Διευκρινίζεται ότι: 

4.1. Σε ότι αφσρά τις ενοποισύμενες στις σικσνομι- 
κές καταστάσεις του πιστωτικού ιδρύματος επιχειρή¬ 
σεις πσυ δεν ανήκσυν στσ χρηματοπιστωτικό τσμέα, 
θα πρέπει να λαμβάνσνται από τσ πιστωτικό ίδρυμα 
πρσσαρμοσμένα αναλόγως μέτρα πρσκειμένσυ να δια¬ 
σφαλίζεται σε επίπεδσ σμίλσυ η επίτευξη των στόχων 
της παρσύσας Πράξης. 

4.2. Σε περίπτωση που οι ελεγχόμενες από το πιστω¬ 
τικό ίδρυμα επιχειρήσεις της παρ. 1 είναι εγκατεστη¬ 
μένες εκτός Ελλάδος, τυχόν σημαντική ασυμβατότητα 
σε επίπεδο ομίλου, που προκύπτει από την αντίστοιχη 
εφαρμογή των εθνικών διατάξεων της χώρας υποδοχής 
δεν θα αντιμετωπίζεται, αυτή καθεαυτή, ως παραβίαση 
των διατάξεων της παρούσας. Όμως, η Τράπεζα της 
Ελλάδος θα ενημερώνεται από το άμεσα εποπτευόμενα 
από αυτήν μητρικό πιστωτικό ίδρυμα για τα μέτρα πσυ 
λαμβάνει για την αντιμετώπιση των πισ πάνω καταστά¬ 
σεων και θα αξισλσγεί την καταλληλότητά τσυς, ιδίως 
δε όσων αφορσύν τα θέματα πρόληψης και καταστολής 
της νομιμοποίησης εσόδων από εγκληματικές δραστη¬ 
ριότητες και της χρηματσδότησης της τρσμοκρατίας. 
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IV. ΟΡΓΑΝΑ ΔΙΟΙΚΗΤΙΚΗΣ ΔΙΑΧΕΙΡΙΣΗΣ ΣΕΕ 

Α. Αρμοδιότητες του Διοικητικού Συμβουλίου (Δ.Σ.) 
και της Διοίκησης. 

1. Ανεξάρτητα από την οργανωτική διάρθρωση κάθε 
πιστωτικού ιδρύματος καθορίζονται τα εξής: 

1.1. Το Διοικητικά Συμβούλιο (Δ. Σ.) οφείλει να διαθέ¬ 
τει, ως σύνολο, επαρκείς γνώσεις και εμπειρία τουλά¬ 
χιστον για τις σημαντικότερες των δραστηριοτήτων 
του πιστωτικού ιδρύματος, ώστε να έχει τη δυνατότητα 
άσκησης εποπτείας επί του συνάλου των λειτουργιών 
είτε άμεσα είτε μέσω των Επιτροπών που θεσμοθετού¬ 
νται υποχρεωτικά ή κατά τη διακριτική ευχέρεια του 
πιστωτικού ιδρύματος με βάση την παρούσα Πράξη. Το 
πιστωτικό ίδρυμα οφείλει να διασφαλίζει τη συμμετο¬ 
χή στο Δ.Σ. τουλάχιστον ενάς ή στην περίπτωση που 
πληρούται η προϋπάθεση της παρ. 2.2. της ενότητας 
Β του παρόντος Κεφαλαίου, δύο μη εκτελεστικών και 
ανεξάρτητων μελών. 

Για την αποφυγή περιπτώσεων σύγκρουσης καθη- 
κάντων η Τράπεζα της Ελλάδος κρίνει σκόπιμο τα πι¬ 
στωτικά ιδρύματα να υιοθετούν τις βέλτιστες διεθνείς 
πρακτικές και αρχές της εταιρικής διακυβέρνησης που 
αφορούν, ιδίως, το διαχωρισμό των εκτελεστικών και 
εποπτικών αρμοδιοτήτων των μελών του Δ.Σ., περιλαμ- 
βανομένου του διαχωρισμού των αρμοδιοτήτων του 
Προέδρου του Διοικητικού Συμβουλίου από τις εκτελε¬ 
στικές αρμοδιότητες του Διευθύνοντος Συμβούλου. 

2. Το Δ.Σ. έχει, γενικά, την ευθύνη για τη συνεπή εφαρ¬ 
μογή των διατάξεων της παρούσας Πράξης και μεταξύ 
άλλων την ευθύνη: 

2.1. Του στρατηγικού προσανατολισμού του πιστωτι¬ 
κού ιδρύματος της επαναξιολόγησής του και της υιο¬ 
θέτησης κατάλληλων πολιτικών που αποσκοπούν στη 
διασφάλιση επαρκούς και αποτελεσματικού ΣΕΕ. 

2.2. Της ύπαρξης κατάλληλης πολιτικής, τόσο για τη 
διαχείριση κινδύνων με καθορισμό των εκάστοτε απο¬ 
δεκτών ανωτάτων ορίων ανάληψης κινδύνου, άσο και 
για την κανονιστική συμμάρφωση. 

2.3. Της διαμόρφωσης του κατάλληλου εσωτερικού 
περιβάλλοντος, που διασφαλίζει ότι κάθε στέλεχος σε 
άλα τα ιεραρχικά επίπεδα του πιστωτικού ιδρύματος 
κατανοεί τόσο τη φύση κάθε κινδύνου που σχετίζεται 
με τις δραστηριάτητες στις οποίες μετέχει ή εποπτεύει, 
άσο και την ανάγκη της αποτελεσματικής αντιμετώ¬ 
πισής τους, αναγνωρίζει τη σημασία των ελεγκτικών 
διαδικασιών και διευκολύνει την εφαρμογή τους. 

2.4. Της υιοθέτησης Κώδικα Ηθικής Συμπεριφοράς που 
εφαρμάζεται από τη Διοίκηση και το σύνολο του προσω¬ 
πικού του πιστωτικού ιδρύματος επί τη βάσει των γενι¬ 
κώς αποδεκτών αρχών (επιμέλεια, αποτελεσματικάτητα, 
υπευθυνάτητα, ευπρέπεια στις σχέσεις με το κοινά, μη 
αίτηση ή αποδοχή ασυνήθους αξίας ωφελημάτων, τή¬ 
ρηση επαγγελματικού απορρήτου κ.λπ.). 

2.5. Της παροχής στη Διοίκηση και τις υπηρεσιακές 
μονάδες όλων των απαραίτητων μέσων για την υλο¬ 
ποίηση του έργου τους. 

2.6. Της ακρίβειας των δημοσιευομένων ετήσιων και πε¬ 
ριοδικών οικονομικών καταστάσεων του πιστωτικού ιδρύ¬ 
ματος και του ομίλου, σε ατομική και ενοποιημένη βάση 
αντίστοιχα, καθώς και των υποβαλλομένων στην Τράπεζα 
της Ελλάδος και τις άλλες εποπτικές αρχές στοιχείων. 

2.7. Της διασφάλισης ότι η λειτουργία του πιστωτικού 
ιδρύματος είναι σύμφωνη με τα προβλεπόμενα από το 


θεσμικό πλαίσιο, τους εσωτερικούς κανονισμούς και 
τις αρχές της εταιρικής διακυβέρνησης, λαμβάνοντας 
τα κατάλληλα μέτρα ως προς την επιλογή και τυχάν 
αντικατάσταση των στελεχών που κατέχουν καίριες 
θέσεις. 

2.8. Της ύπαρξης καταγεγραμμένων διαδικασιών (ανά¬ 
θεση συγκεκριμένων ρόλων και συντονισμό τους, εξου¬ 
σιοδοτημένα πρόσωπα για επικοινωνία με την Τράπεζα 
της Ελλάδος ή και άλλες αρχές, εναλλακτικές πηγές 
κάλυψης αναγκών ρευστάτητας κ.λπ.) που θα διασφα¬ 
λίζουν: 

2.8.1. την αντιμετώπιση εκτάκτων καταστάσεων που 
θέτουν σε κίνδυνο την ομαλή λειτουργία του πιστωτικού 
ιδρύματος και 

2.8.2. την αποκατάσταση και απράσκοπτη συνέχιση 
της επιχειρησιακής του λειτουργίας. 

3. Η Διοίκηση, η οποία για τους σκοπούς εφαρμογής 
της παρούσας Πράξης νοείται ως το ανώτατο διοικητι¬ 
κό όργανο με εκτελεστικές αρμοδιότητες, έχει μεταξύ 
άλλων την ευθύνη: 

3.1. Της συνεπούς υλοποίησης της εγκεκριμένης απά 
το Δ.Σ. επιχειρησιακής στρατηγικής και της εξειδίκευ- 
σής της με τη χάραξη κατάλληλης για κάθε λειτουργία 
πολιτικής, τον καθορισμό επιμέρους στόχων για κάθε 
τομέα δραστηριάτητας, διοικητικό όργανο και υπηρεσι¬ 
ακή μονάδα. Στο πλαίσιο αυτά εντάσσεται και: 

3.1.1. Η υλοποίηση της εγκεκριμένης απά το Δ.Σ. πολι¬ 
τικής διαχείρισης κινδύνων. 

3.1.2. Ο καθορισμός των επιμέρους ορίων και των αρ¬ 
μοδιοτήτων κάθε υπηρεσιακής μονάδας στη διαχείριση 
των κινδύνων και η αξιολάγηση της απόδοσής της. 

3.1.3. Ο διαρκής έλεγχος της διαχείρισης των κινδύνων 
του πιστωτικού ιδρύματος μέσα στα εγκεκριμένα από 
το Δ.Σ. όρια ανάληψης. 

3.2. Της ανάπτυξης και ενσωμάτωσης των μηχανισμών 
και διαδικασιών εσωτερικού ελέγχου, που προσιδιάζουν 
στο εύρος, το μέγεθος και τη φύση των εργασιών του 
πιστωτικού ιδρύματος, της περιοδικής αξιολάγησης των 
σημαντικών, από πλευράς επιπτώσεων, δυσλειτουργι¬ 
ών και της εν γένει αποτελεσματικής εφαρμογής του 
ΣΕΕ. 

Β. Επιτροπές του Δ.Σ. ή της Διοίκησης 

1. Γενικοί άροι 

1. Ανάλογα με το μέγεθος του πιστωτικού ιδρύμα¬ 
τος και την πολυπλοκάτητα των εργασιών του, το Δ.Σ. 
υποβοηθείται στο έργο του από Επιτροπές στις οποίες 
μπορεί να αναθέτει αρμοδιότητες σχετικά με το ΣΕΕ, 
προσδιορίζοντας σαφώς τα καθήκοντα, τη σύνθεση 
και τις διαδικασίες λειτουργίας τους, διασφαλίζοντας 
σε κάθε περίπτωση την εσωτερική του συνοχή, τη συ- 
μπληρωματικάτητα και τον απαιτούμενο συντονισμά. 
Το Δ.Σ. διατηρεί για τις εν λάγω αρμοδιάτητες την 
τελική ευθύνη, εκτός εάν προβλέπεται ρητά απά διατά¬ 
ξεις της νομοθεσίας αυξημένος βαθμός ανεξαρτησίας 
έναντι του Δ.Σ. για συγκεκριμένες αρμοδιότητες (όπως 
π.χ. της Επιτροπής Ελέγχου), οπότε και γνωστοποιεί¬ 
ται στην Τράπεζα της Ελλάδος. Το Δ.Σ. ορίζει απά τα 
μέλη του τον Πράεδρο των Επιτροπών και καθορίζει τη 
συχνάτητα της περιοδικής εναλλαγής των μελών τους 
(ΓοίεΐΙοη). Οι σχετικές αποφάσεις καταγράφονται στα 
πρακτικά του Δ.Σ. 
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2 . Για λόγους ισότητας όρων ανταγωνισμού μεταξύ 
των πιστωτικών ιδρυμάτων και αποτελεσματικότητας 
και υπό την επιφύλαξη των παράλληλα ισχυουσών δια¬ 
τάξεων της νσμοθεσίας για τη σύσταση Επιτροπών από 
το Δ.Σ, καθορίζονται τα εξής: 

2.1. Συστήνεται υποχρεωτικά από τα πιστωτικά ιδρύ¬ 
ματα Επιτρσπή Ελέγχσυ (ενότητα 2α του κεφαλαίου 
αυτού), εφόσον αυτά: 

2 . 1 . 1 . έχουν εισαγάγει τις μετοχές τους σε οργανωμένη 
χρηματιστηριακή αγορά ή 

2 . 1 . 2 . διατηρούν θυγατρικές εταιρίες ή υποκαταστή¬ 
ματα στα εξωτερικό ή 

2.1.3. το ενεργητικό τους υπερβαίνει το ποσό των 100 
εκατ. ευρώ. 

2.2. Συστήνεται υπσχρεωτικά Επιτρσπή Διαχείρισης 
Κινδύνων (ενότητα 2β του κεφαλαίου αυτού) σε περί¬ 
πτωση που πληρούται μία από τις προϋποθέσεις των 
ανωτέρω παρ. 2 . 1.1 και 2 . 1.2 ταυ παρόντος κεφαλαίου και 
το εντός και εκτός ισολογισμού ενεργητικό του πιστω¬ 
τικού ιδρύματος υπερβαίνει το ποσό των 10 δισ. ευρώ. 

Κατ’ απόκλιση από τα προαναφερόμενα, τσ πιστωτι¬ 
κό ίδρυμα μπσρεί να αναθέσει, με γνωστοπσίηση στην 
Τράπεζα της Ελλάδας των λόγων που επιβάλουν τη 
χρήση της εν λόγω δυνατότητας, τις αρμοδιότητες της 
εν λόγω Επιτροπής τουλάχιστον σε ένα εκτελεστικό και 
ένα μη εκτελεστικό μέλος του Δ.Σ με επαρκείς γνώσεις 
και εμπειρία σε θέματα διαχείρισης κινδύνων. 

2.3. Δεν απαιτείται η σύσταση της Επιτροπής Διαχείρι¬ 
σης Κινδύνων από τσ πιστωτικό ίδρυμα στην περίπτωση 
που τα σχετικά καθήκοντα ασκούνται σε επίπεδα ομίλσυ 
από αντίστσιχη Επιτροπή και καλύπτουν ρητά και το 
πιστωτικό ίδρυμα. 

2.4. Λοιπές Επιτροπές. 

2.4.1. Τα πιστωτικά ιδρύματα πσυ δεν πληρούν τις ως 
άνω προϋποθέσεις (παρ. 2 . 1 . και 2 . 2 .) απσφασίζσυν για 
τη σύσταση ανάλσγων σργάνων στη βάση της αρχής 
του κόστους/οφέλους και εν γένει αποτελεσματικότη¬ 
τας, τα οποία και γνωστοποιούνται στην Τράπεζα της 
Ελλάδος. 

2.4.2. Στο πλαίσιο αυτό εντάσσεται και η σύ¬ 
σταση πρόσθετων Επιτρσπών, Εκτελεστικής(ών) 
Επιτροπής(ών) στσ επίπεδσ της Δισίκησης, η ανάθεση 
πρόσθετων αρμοδιστήτων στην Επιτροπή Διαχείρι¬ 
σης Κινδύνων, ή ειδικών αρμοδιστήτων σε Επιτροπή 
Διαχείρισης Ενεργητικσύ Παθητικού (ΑίΟΟ), Επιτροπή 
Αμοιβών, κλπ. 

2.4.3. Διευκρινίζεται ότι η σύσταση της ειδικής συντο¬ 
νιστικής επιτρσπής για την Πληρσφορική (Ι.Τ. 8 ΐΘΘηη 9 
Οσπιπιίΐΐθβ), της οπαίας ο Πρόεδρσς συνιστάται να είναι 
μέλος της Διοίκησης, διέπεται από τις διατάξεις ταυ 
Παραρτήματσς 2 (Κεφ. Α1, παρ. 2). Σε ό,τι αφσρά την αρ¬ 
μοδιότητα αξιολόγησης της ανάλυσης και διαχείρισης 
των κινδύνων πσυ σχετίζονται με τα συστήματα πληρσ- 
φορικής, εναπόκειται στην κρίση τσυ Δ.Σ. η ανάθεσή της 
στην εν λόγω Επιτρσπή ή στην Επιτροπή Διαχείρισης 
Κινδύνων, όπου υπάρχει. 

2. Αρμοδιότητες 

α) Επιτροπή Ελέγχου 

1.1. Η Επιτροπή Ελέγχου (ΕΕ) ορίζεται από το Δ.Σ. και 
απαρτίζεται από μη εκτελεστικά μέλη τσυ, κατ’ ελάχι- 
στσν τρία. Από τα εν λόγω μέλη, το ένα τουλάχιστον 


είναι ανεξάρτητο, κατά την έννοια του ν. 3016/2002, 
με επαρκείς γνώσεις και εμπειρία σε λσγιστικής και 
ελεγκτικής φύσεως θέματα. 

1.2. Σε περιπτώσεις πιστωτικών ιδρυμάτων που είναι 
θυγατρικές πιστωτικών ιδρυμάτων (με έδρα στην Ελ¬ 
λάδα ή στο εξωτερικό), η συμμετοχή στην Επιτρσπή 
Ελέγχου εκτελεστικών μελών τσυ Δ.Σ. της μητρικής, 
υπό την επιφύλαξη της εκάστοτε ισχύουσας νομσθε- 
σίας, δεν έρχεται σε αντίθεση με την ως άνω διάταξη 
της παρσύσας. 

2.1. Τα μέλη της Επιτρσπής δεν πρέπει να κατέχσυν 
παράλληλες θέσεις ή ιδιότητες ή να διενεργσύν συναλ¬ 
λαγές που θα μπορούσαν να θεωρηθσύν ασυμβίβαστες 
με την αποστσλή της Επιτρσπής. Η συμμετσχή στην 
Επιτροπή Ελέγχου δεν αποκλείει τη δυνατότητα συμ¬ 
μετοχής και σε άλλες επιτρσπές τσυ Δ.Σ. 

2.2. Ο Πρόεδρσς της Επιτρσπής πρέπει να διαθέτει τις 
απαιτσύμενες γνώσεις και εμπειρία για την επίβλεψη 
των ελεγκτικών διαδικασιών και των λογιστικών θεμά¬ 
των πσυ απασχολούν την Επιτροπή ενώ παράλληλα η 
Επιτροπή Ελέγχου, ως σύνολο, πρέπει να διαθέτει την 
κατάρτιση και την εμπειρία πσυ απαιτούνται για τη 
διεκπεραίωση του έργου της, περιλαμβανομένης της 
γνώσης για τσ ευρύτερο περιβάλλον λειτουργίας του 
πιστωτικού ιδρύματος (εντός και εκτός της χώρας) και 
για τα συστήματα πληρσφορικής. 

2.3. Η λειτουργία της Επιτροπής Ελέγχου διέπεται 
από Κανονισμό στσν σπσίσ καθσρίζονται η διάρκεια, 
τα μέλη, η συχνότητα εναλλαγής τους, οι διαδικασίες 
λήψης των απσφάσεων καθώς και τα κύρια καθήκσντά 
της, μεταξύ των οπαίων συγκαταλέγονται: 

2.3.1. Η παρακολούθηση και η ετήσια αξιολόγηση της 
επάρκειας και αποτελεσματικότητας τσυ Συστήματος 
Εσωτερικού Ελέγχου σε ατομική βάση και σε επίπεδο 
ομίλου, εφόσον πρόκειται για μητρική, με βάση τα σχετι¬ 
κά στσιχεία και πληρσφσρίες της Μσνάδας Εσωτερικής 
Επιθεώρησης, τις διαπιστώσεις και παρατηρήσεις των 
εξωτερικών ελεγκτών (τακτικών ορκωτών ελεγκτών λο¬ 
γιστών), καθώς και των επσπτικών αρχών. 

2.3.2. Η επίβλεψη και η αξιολόγηση των διαδικασιών 
(βλ. και αρμσδιότητες τσυ Δ.Σ.) κατάρτισης των δη- 
μσσιευμένων ετήσιων και, εφόσον συντρέχει σχετική 
υποχρέωση και, περιοδικών οικονομικών καταστάσεων, 
τσυ πιστωτικσύ ιδρύματος και του ομίλου σύμφωνα με 
τα ισχύοντα λογιστικά πρότυπα. 

2.3.3. Η επίβλεψη του διενεργούμενου από τους τα¬ 
κτικούς ορκωτούς ελεγκτές λογιστές ελέγχσυ των 
ετήσιων σικσνομικών καταστάσεων του πιστωτικού 
ιδρύματος και η σε τακτική βάση συνεργασία μαζί 
τσυς. Στο πλαίσιο της συνεργασίας αυτής, η Επιτροπή 
ζητά από τους εν λόγω ελεγκτές να αναφέρουν τα 
τυχόν προβλήματα ή αδυναμίες που εντόπισαν στσ 
ΣΕΕ κατά τον έλεγχο των ετήσιων σικονσμικών κατα¬ 
στάσεων σύμφωνα με τα εκάστοτε ισχύοντα Ελληνικά 
Ελεγκτικά Πρότυπα. 

2.3.4. Η υποβολή πρότασης πρσς τσ Δ.Σ. για την επι¬ 
λογή των εξωτερικών ελεγκτών (νοουμένων ως των 
τακτικών ορκωτών ελεγκτών λογιστών). Η Επιτρσπή 
υπσβάλλει επίσης, όποτε τσ κρίνει σκόπιμο, πρόταση 
για την αντικατάσταση ή την εναλλαγή τους. 
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2.3.5. Η διασφάλιση της ανεξαρτησίας, σύμφωνα με 
την εκάστοτε ισχύσυσα νομσθεσία (σήμερα άρθρα 12 ν. 
3148/2003) των ορκωτών ελεγκτών λογιστών. 

2.3.6. Η υποβολή προτάσεων για την αντιμετώπιση των 
αδυναμιών που έχουν διαπιστωθεί και η παρακολούθηση 
της εφαρμογής των μέτρων που αποφασίζονται από το 
Δ.Σ. (ίοΙΙονν υρ). 

2.3.7. Η υποβολή προτάσεων για τις ειδικές περιοχές 
όπου επιβάλλεται η διενέργεια πρόσθετων ελέγχων από 
τους εσωτερικούς, ή εξωτερικούς ελεγκτές. 

2.3.8. Η αξιολόγηση του έργου της Μονάδας Εσωτερι¬ 
κής Επιθεώρησης με έμφαση σε θέματα που σχετίζονται 
με το βαθμό ανεξαρτησίας της, την ποιότητα και το 
εύρος των ελέγχων που διενεργεί, τις προτεραιότητες 
που προσδιορίζονται από μεταβολές του οικονομικού 
περιβάλλοντος, των συστημάτων και του επιπέδου των 
κινδύνων και την εν γένει αποτελεσματικότητα της λει¬ 
τουργίας της. 

3.1. Η Επιτροπή συνεδριάζει τακτικά, τουλάχιστον μία 
φορά κάθε τρίμηνο, ή και έκτακτα και μπορεί να προ- 
σκαλεί μέλη της Διοίκησης και οποιοδήποτε άλλο στέ¬ 
λεχος ή εμπειρογνώμονα, η παρουσία του οποίου, κατά 
την κρίση της, απαιτείται. Η Επιτροπή τηρεί πρακτικά 
και ενημερώνει εγγράφως το Δ.Σ. για τα αποτελέσματα 
του ελεγκτικού της έργου. 

3.2. Ο πρόεδρος της Επιτροπής ενημερώνει επίσης 
το Δ.Σ. για το έργο της Επιτροπής στα πλαίσια των 
συνεδριάσεων του Δ.Σ. 

4.1. Θα ανατίθεται περιοδικά, ύστερα από εισήγηση 
της Επιτροπής Ελέγχου, τουλάχιστον ανά τριετία, από 
κάθε πιστωτικό ίδρυμα σε τρίτους, πλην των τακτικών, 
ορκωτούς ελεγκτές λογιστές που διαθέτουν την απα¬ 
ραίτητη εμπειρία, η αξιολόγηση της επάρκειας του ΣΕΕ 
σε ατομική και ενοποιημένη βάση, κατά τα ειδικότερα 
αναφερόμενα στο Παράρτημα 3 της παρούσας Πράξης. 
Η σχετική έκθεση αξιολόγησης θα γνωστοποιείται στην 
Τράπεζα της Ελλάδος (Διεύθυνση Εποπτείας Πιστωτικού 
Συστήματος) εντός του πρώτου εξαμήνου, μετά από 
τη λήξη της τριετίας, έτους. Η ελεγκτική εταιρεία και 
οι ορκωτοί ελεγκτές που αναλαμβάνουν την εργασία 
αυτή θα εναλλάσσονται, τουλάχιστον, μετά από δύο 
διαδοχικές αξιολογήσεις. 

4.2. Κατά την ανάθεση έργου στους τακτικούς ορκω¬ 
τούς ελεγκτές λογιστές και τους ορκωτούς ελεγκτές 
λογιστές που διενεργούν την ανά τριετία αξιολόγηση, 
θα τους παρέχεται εξουσιοδότηση για την ενημέρωση 
της Τράπεζας της Ελλάδος, στο πλαίσιο των διατάξεων 
του άρθρων 18 και 21 του ν. 2076/1992, όπως εκάστοτε 
ισχύει. 

5. Οι πληροφορίες και οι διαπιστώσεις των εξωτερικών 
ελεγκτών των οικονομικών καταστάσεων του πιστωτι¬ 
κού ιδρύματος θα συζητούνται τριμερώς, μεταξύ του 
πιστωτικού ιδρύματος, των εξωτερικών ελεγκτών και 
της Τράπεζας της Ελλάδος, και σε ειδικές περιπτώσεις 
και διμερώς, μεταξύ των ορκωτών ελεγκτών λογιστών 
και της Τράπεζας της Ελλάδος (με σχετική ενημέρωση 
των πιστωτικών ιδρυμάτων), σύμφωνα και με τα οριζό¬ 
μενα στο εκάστοτε ισχύον Ελληνικό Ελεγκτικό Πρότυπο 
που αφορά στην επικοινωνία με τις Ρυθμιστικές και 
Εποπτικές αρχές. 

β) Επιτροπή Διαχείρισης Κινδύνων 

1.1. Το Δ.Σ. αναθέτει, κατά τα αναφερόμενα στην παρ. 
2.2 - ενότητα Β1 του κεφ. IV, τις σχετικές με τη διαχεί¬ 


ριση κινδύνων αρμοδιότητες σε Επιτροπή Διαχείρισης 
Κινδύνων (ΕΔΚ) (ή εναλλακτικά στα δύο μέλη του Δ.Σ. 
κατά τα προβλεπόμενα στο δεύτερο εδάφιο της παρ. 2.2 
- ενότητα Β1 του κεφ. IV), ώστε να καλύπτονται αποτε¬ 
λεσματικά όλες οι μορφές κινδύνων περιλαμβανομένου 
του λειτουργικού και να διασφαλίζεται ο ενοποιημένος 
έλεγχός τους, η εξειδικευμένη αντιμετώπισή τους και 
ο απαιτούμενος συντονισμός σε επίπεδο πιστωτικού 
ιδρύματος και ομίλου. 

1.2. Η Επιτροπή Διαχείρισης Κινδύνων ορίζεται από το 
Δ.Σ. και απαρτίζεται από μέλη του με επαρκείς γνώσεις 
και εμπειρία στον τομέα της διαχείρισης κινδύνων, εκ 
των οποίων ένα τουλάχιστον μέλος είναι εκτελεστικό 
και ένα μη εκτελεστικό. 

2.1. Η λειτουργία της Επιτροπής Διαχείρισης Κινδύ¬ 
νων διέπεται από Κανονισμό στον οποίο καθορίζονται 
η διάρκεια, τα μέλη, η συχνότητα εναλλαγής τους, οι 
διαδικασίες λήψης των αποφάσεων καθώς και τα κύρια 
καθήκοντά της, μεταξύ των οποίων συγκαταλέγονται 
τουλάχιστον οι ακόλουθες αρμοδιότητες: 

2.1.1. Διαμορφώνει τη στρατηγική ανάληψης πάσης 
μορφής κινδύνων και διαχείρισης κεφαλαίων που αντα- 
ποκρίνεται στους επιχειρηματικούς στόχους του πιστω¬ 
τικού ιδρύματος, σε ατομικό και σε επίπεδο ομίλου και 
στην επάρκεια των διαθέσιμων πόρων σε τεχνικά μέσα 
και προσωπικό. 

2.1.2. Μεριμνά για την ανάπτυξη εσωτερικού συστή¬ 
ματος διαχείρισης κινδύνων και την ενσωμάτωσή του 
στη διαδικασία λήψης των επιχειρηματικών αποφάσε¬ 
ων (π.χ. αποφάσεων που αφορούν την εισαγωγή νέων 
προϊόντων και υπηρεσιών, την προσαρμοσμένη ανάλογα 
με τον κίνδυνο τιμολόγηση προϊόντων και υπηρεσιών, 
καθώς και τον υπολογισμό της αποδοτικότητας και την 
κατανομή κεφαλαίων σε συνάρτηση με τον κίνδυνο) 
σε όλο το εύρος των δραστηριοτήτων/μονάδων του 
πιστωτικού ιδρύματος και των θυγατρικών του. 

2.1.3. Καθορίζει τις αρχές που πρέπει να διέπουν τη 
διαχείριση των κινδύνων ως προς την αναγνώριση, 
πρόβλεψη, μέτρηση, παρακολούθηση, έλεγχο και αντι¬ 
μετώπισή τους, σε συνέπεια με την εκάστοτε ισχύου- 
σα επιχειρηματική στρατηγική και την επάρκεια των 
διαθέσιμων πόρων. 

2.1.4. Λαμβάνει και αξιολογεί τις υποβαλλόμενες ανά 
τρίμηνο αναφορές της Μονάδας Διαχείρισης Κινδύνων, 
ενημερώνει το Δ.Σ. σχετικά με τους σημαντικότερους 
κινδύνους που έχει αναλάβει το πιστωτικό ίδρυμα και δι- 
αβεβαιώνει για την αποτελεσματική αντιμετώπισή τους. 
Τα πιστωτικά ιδρύματα που δεν υπόκεινται σε σημα¬ 
ντική μεταβολή της διάρθρωσης των δραστηριοτήτων 
τους μπορούν να εφαρμόσουν διαφορετική συχνότητα 
αξιολόγησης. 

2.2. Σε κάθε περίπτωση όμως, η Επιτροπή Διαχείρισης 
Κινδύνων αξιολογεί σε ετήσια βάση: 

2.2.1. την επάρκεια και την αποτελεσματικότητα της 
πολιτικής διαχείρισης κινδύνων του πιστωτικού ιδρύμα¬ 
τος και του ομίλου του και ιδίως τη συμμόρφωση προς 
το καθορισμένο επίπεδο ανοχής κινδύνου, 

2.2.2. την καταλληλότητα των ορίων, την επάρκεια 
των προβλέψεων και την εν γένει επάρκεια των ιδίων 
κεφαλαίων σε σχέση με το ύψος και τη μορφή των 
αναλαμβανομένων κινδύνων, 

τουλάχιστον με βάση την ετήσια έκθεση του επικεφαλής 
της Μονάδας Διαχείρισης Κινδύνων και του σχετικού απο- 




612 


ΕΦΗΜΕΡΙΣ ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ (ΤΕΥΧΟΣ ΠΡΩΤΟ) 


σπάσματος της έκθεσης της Μονάδας Εσωτερικής Επιθεώ¬ 
ρησης (Κεφ. V - Ενότητα α - παρ. 2.13.2.β έως και δ). 

2.3. Προβλέπει για τη διενέργεια τουλάχιστον ετήσιων 
προσομοιώσεων καταστάσεων κρίσης (εΐΓθεε ΐβεΐε) για 
τους κινδύνους αγοράς, πιστωτικό, ρευστότητας και 
ανάλογων τεχνικών για το λειτουργικό κίνδυνο. 

2.4. Διατυπώνει προτάσεις και εισηγείται διορθωτι¬ 
κές ενέργειες στο Α.Σ. σε περίπτωση που διαπιστώνει 
αδυναμία υλοποίησης της στρατηγικής που έχει δια¬ 
μορφωθεί για τη διαχείριση κινδύνων του πιστωτικού 
ιδρύματος ή αποκλίσεις ως προς την εφαρμογή της. 

3. Η Επιτροπή συνεδριάζει τακτικά, τουλάχιστον μία 
φορά κάθε τρίμηνο, ή και έκτακτα και καλεί οποιοδή- 
ποτε μέλος της Διοίκησης ή στέλεχος θεωρεί σκόπιμο. 
Η Επιτροπή τηρεί πρακτικά και ενημερώνει εγγράφως 
το Δ.Σ. για τα αποτελέσματα του έργου της. 

4. Ο πρόεδρος της Επιτροπής ενημερώνει επίσης το 
Δ.Σ. για το έργο της Επιτροπής [στα πλαίσια των συ¬ 
νεδριάσεων του Δ.Σ.]. 

V. ΥΠΗΡΕΣΙΑΚΕΣ ΜΟΝΑΔΕΣ 

α. Μονάδα Εσωτερικής Επιθεώρησης 

1. Σε όλα τα πιστωτικά ιδρύματα πρέπει να υπάρχει 
υπηρεσιακή Μονάδα Εσωτερικής Επιθεώρησης (ΜΕΕ), 
η οποία: 

1.1. Είναι διοικητικά ανεξάρτητη από μονάδες με εκτε¬ 
λεστικές αρμοδιότητες και από τις υπηρεσίες που είναι 
αρμόδιες για την πραγματοποίηση ή λογιστικοποίηση 
συναλλαγών. 

1.2. Αναφέρεται, για τα θέματα αρμοδιότητάς της, στο 
Δ.Σ. μέσω της Επιτροπής Ελέγχου και στη Διοίκηση, 
μετά από τον καθορισμό των κατάλληλων προϋποθέσε¬ 
ων που θα διασφαλίζουν την ανεξαρτησία της ΜΕΕ. 

2. Στις κύριες αρμοδιότητες της ΜΕΕ εντάσσονται: 

2.1. Η διενέργεια ελέγχων προκειμένου να διαμορφω¬ 
θεί αντικειμενική, ανεξάρτητη και τεκμηριωμένη άποψη 
για την επάρκεια και την αποτελεσματικότητα του ΣΕΕ, 
σε επίπεδο πιστωτικού ιδρύματος και του ομίλου του 
οποίου είναι επικεφαλής. 

2.2. Η διενέργεια ειδικών ελέγχων, στις περιπτώσεις 
που υπάρχουν ενδείξεις για βλάβη των συμφερόντων 
του πιστωτικού ιδρύματος ή των εταιρειών του ομίλου, 
με σκοπό τη διεξοδική εξέταση του θέματος και την 
εξακρίβωση της έκτασης της τυχόν ζημίας. 

2.3. Η αξιολόγηση, μέσω των ελέγχων που διενεργεί, 
του βαθμού εφαρμογής και της αποτελεσματικότητας 
των διαδικασιών που έχουν θεσπιστεί για τη διαχεί¬ 
ριση κινδύνων και τον υπολογισμό των παραμέτρων 
στις οποίες βασίστηκε η εκτίμηση της κεφαλαιακής 
επάρκειας του πιστωτικού ιδρύματος και των εταιρειών 
του ομίλου, όπου προβλέπεται, καθώς και του βαθμού 
ενσωμάτωσης του συστήματος διαχείρισης κινδύνων 
στους μηχανισμούς λήψης αποφάσεων (υεβ Ιβεΐε). 

2.4. Η επιβεβαίωση προς την Τράπεζα της Ελλάδος 
της πληρότητας και εγκυρότητας των πιο πάνω διαδι¬ 
κασιών και ειδικότερα των διαδικασιών εκτίμησης των 
παραμέτρων, στις οποίες βασίστηκε η εκτίμηση του 
ύψους της πιθανής ζημίας. 

2.5. Η αξιολόγηση της οργανωτικής διάρθρωσης, κα¬ 
τανομής αρμοδιοτήτων και καθηκόντων και διαχείριση 
του ανθρώπινου δυναμικού, καθώς και του βαθμού κατά 
τον οποίο έχουν καθιερωθεί κατάλληλες πολιτικές και 
διαδικασίες εταιρικής διακυβέρνησης. 


2.6. Η αξιολόγηση του έργου των τομέων εσωτερικού 
ελέγχου, όπου υπάρχουν, στις μονάδες του πιστωτικού 
ιδρύματος και των εταιρειών του ομίλου του. 

2.7. Η αξιολόγηση της οργάνωσης και λειτουργίας των 
συστημάτων και μηχανισμών που αφορούν την παρα¬ 
γωγή αξιόπιστης, πλήρους και έγκαιρης χρηματοοικο¬ 
νομικής και διοικητικής πληροφόρησης, όπου αυτή κατά 
περίπτωση παρέχεται. 

2.8. Η αξιολόγηση της οργάνωσης και λειτουργίας 
των συστημάτων πληροφορικής, κατά τα προβλεπόμενα 
στο Παράρτημα 2 (Κεφ. Δ), καθώς και των λογιστικών 
συστημάτων. 

2.9. Η αξιολόγηση των διαδικασιών που έχουν θεσπι¬ 
στεί για την κανονιστική συμμόρφωση. 

2.10. Η αξιολόγηση του βαθμού κατά τον οποίο τα 
συλλογικά όργανα και οι μονάδες του πιστωτικού ιδρύ¬ 
ματος καθώς και οι εταιρείες του ομίλου: 

2.10.1. Χρησιμοποιούν αποτελεσματικά τα μέσα και 
τους πόρους που τους διατίθενται για τη συνεπή υλο¬ 
ποίηση της επιχειρησιακής στρατηγικής. 

2.10.2. Τηρούν τις κατευθύνσεις και τις διαδικασίες που 
έχουν αρμοδίως καθορισθεί με στόχο τη συστηματική πα¬ 
ρακολούθηση και διαχείριση των πάσης φύσεως κινδύνων 
που αναλαμβάνονται (π.χ. θέσπιση και τήρηση ορίων). 

2.10.3. Μεριμνούν για την διασφάλιση της πληρότη¬ 
τας και ακρίβειας των στοιχείων και πληροφοριών που 
απαιτούνται για την κατάρτιση αξιόπιστων οικονομικών 
καταστάσεων, σύμφωνα με τις ισχύουσες λογιστικές 
αρχές, 

2.10.4. Μεριμνούν για την ενσωμάτωση σε όλες τις 
διαδικασίες και συναλλαγές που διενεργούνται, των κα¬ 
τάλληλων προληπτικών και κατασταλτικών ελεγκτικών 
μηχανισμών και ασφαλιστικών δικλείδων (οοηΐΓοΙε). 

2.11. Η υποβολή προτάσεων για τη θεραπεία τυχόν 
αδυναμιών που εντοπίζονται στο ΣΕΕ, ή και τη βελτίωση 
των υφιστάμενων, διαδικασιών και πρακτικών, προκειμέ¬ 
νου να επιτυγχάνονται πλήρως οι στόχοι του ΣΕΕ. 

2.12. Η παρακολούθηση της εφαρμογής και αποτελε¬ 
σματικότητας των διορθωτικών μέτρων από τις ελεγχό¬ 
μενες μονάδες του πιστωτικού ιδρύματος και τις εται¬ 
ρείες του ομίλου, για την επαρκή αντιμετώπιση των πιο 
πάνω αδυναμιών και των παρατηρήσεων που καταγρά¬ 
φονται στις εκθέσεις των πάσης φύσεως ελέγχων (εσω¬ 
τερικών ελεγκτών, εξωτερικών ελεγκτών, εποπτικών 
αρχών, φορολογικών αρχών κλπ), με σχετική ενημέρωση 
της Διοίκησης και της Επιτροπής Ελέγχου. 

2.13. Η εύλογη και αντικειμενική διαβεβαίωση του Δ.Σ. 
και της Διοίκησης του πιστωτικού ιδρύματος σχετικά 
με τη επίτευξη των στόχων του ΣΕΕ, όσον αφορά το πι¬ 
στωτικό ίδρυμα και τις εταιρείες του ομίλου του οποίου 
είναι επικεφαλής. Για το σκοπό αυτό η ΜΕΕ: 

2.13.1. Ενημερώνει εγγράφως, το Δ.Σ. μέσω της Επιτρο¬ 
πής Ελέγχου και τη Διοίκηση, τουλάχιστον ανά τρίμηνο, 
καθώς και τις κατά περίπτωση αρμόδιες μονάδες του 
πιστωτικού ιδρύματος για τις κυριότερες διαπιστώσεις 
των διενεργούμενων ελέγχων και για τις τυχόν συστά¬ 
σεις στις οποίες έχει προβεί 

2.13.2. Υποβάλλει, εντός του πρώτου τριμήνου κάθε 
έτους, στη Διοίκηση και μέσω της Επιτροπής Ελέγχου 
στο Διοικητικό Συμβούλιο του πιστωτικού ιδρύματος 
έκθεση σχετικά με: 

α) την επάρκεια και αποτελεσματικότητα του ΣΕΕ στο 
πιστωτικό ίδρυμα και στις εταιρείες του ομίλου. 
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β) την αποτελεσματικότητα και την τήρηση των δι¬ 
αδικασιών διαχείρισης κινδύνων και των συναφών πι- 
στοδστικών διαδικασιών, συμπεριλαμβανσμένης της 
πσλιτικής προβλέψεων (με επισήμανση των τυχόν μη 
καλυπτόμενων κινδύνων), 

γ) την επάρκεια των διαδικασιών σε σχέση με την 
εσωτερική αξιολόγηση της κεφαλαιακής επάρκειας του 
πιστωτικού ιδρύματος, 

δ) την εκτίμηση για την πληρότητα της διαδικασίας ή 
μεθοδολογίας υπολογισμού της απομείωσης της αξίας 
των δανείων και άλλων περιουσιακών στοιχείων και των 
τυχόν μεταβολών κατά τη διάρκεια της χρήσης, 

καθώς και πρόγραμμα δράσης για τον επόμενο χρόνο. 

Το απόσπασμα της έκθεσης που αφορά τις ανωτέρω 
περιπτώσεις (β) έως και (δ) υποβάλλονται και στην ΕΔΚ 
(κεφ. IV, ενότητα Β2β, παρ. 2.2.). 

Διευκρινίζεται ότι στην ως άνω έκθεση θα περιλαμ¬ 
βάνονται τουλάχιστον οι αντίστοιχες περιοχές/δρα- 
στηριάτητες που αναφέρονται στο Παράρτημα 3 της 
παρούσας Πράξης (τριετής έκθεση ελεγκτών λογιστών). 
Τα τμήματα τουλάχιστον της έκθεσης που αφορούν στις 
ελεγχόμενες μονάδες θα τους κοινοποιούνται άμεσα 
για τις διορθωτικές ενέργειές τους. 

2.14. Παρέχει στην Τράπεζα της Ελλάδος, κατά κανά- 
να εγγράφως, οποιαδήποτε στοιχεία ή πληροφορίες 
ζητηθούν, στο πλαίσιο της ειδικής νομοθεσίας για την 
εποπτεία των πιστωτικών ιδρυμάτων (νοούμενης ως 
της πέραν των διατάξεων του ν 3016/2002 νομοθεσίας, 
του ν.δ. 588/1948, του α.ν. 1965/1951, του ν. 2076/1992 και 
του άρθρου 55Α του Καταστατικού της Τράπεζας της 
Ελλάδος), τα οποία αφορούν θέματα της αρμοδιότητάς 
της και διευκολύνει με κάθε δυνατό τρόπο το έργο 
της. (Για τις λοιπές εποπτικές αρχές εφαρμόζονται οι 
διατάξεις του ν. 3016/2002, άρθρο 8). 

3. Γ ια την αποτελεσματική άσκηση των αρμοδιοτήτων 
της, η ΜΕΕ: 

3.1. Έχει πρόσβαση σε όλες τις δραστηριότητες και 
μονάδες, καθώς και σε άλα τα στοιχεία και πληροφο¬ 
ρίες του πιστωτικού ιδρύματος και των εταιρειών του 
ομίλου. 

3.2. Διαθέτει έμπειρο και αριθμητικά επαρκές προσω¬ 
πικό, το οποίο είναι πλήρους και αποκλειστικής απα¬ 
σχόλησης και δεν υπάγεται ιεραρχικά σε άλλη υπηρε¬ 
σιακή μονάδα του πιστωτικού ιδρύματος. Η Τράπεζα 
της Ελλάδος δύναται να παρέχει εξαίρεση από την 
προϋπόθεση της αποκλειστικής απασχόλησης σε ορι¬ 
σμένες κατηγορίες πιστωτικών ιδρυμάτων σύμφωνα με 
την αρχή της αναλογικάτητας. 

4. Ο επικεφαλής της ΜΕΕ του πιστωτικού ιδρύματος: 

4.1. Ορίζεται απά το Διοικητικά Συμβούλιο (κατόπιν 
εισήγησης της Επιτροπής Ελέγχου, όπου υπάρχει) και 
η τοποθέτησή του άπως και η τυχάν αντικατάστασή 
του γνωστοποιούνται στην Τράπεζα της Ελλάδος (Δι¬ 
εύθυνση Εποπτείας Πιστωτικού Συστήματος). Η Τράπε¬ 
ζα της Ελλάδος διατηρεί την ευχέρεια να ζητήσει την 
αντικατάστασή του σε περίπτωση που κρίνει άτι δεν 
πληρούνται τα κριτήρια καταλληλότητας ή επάρκειας 
για την εκπλήρωση των αρμοδιοτήτων του. 

4.2. Διαθέτει υψηλού επιπέδου γνώσεις και επαρκή 
εμπειρία επί ελεγκτικών μεθόδων και των βέλτιστων 
διεθνών πρακτικών. 

4.3. Είναι αποκλειστικής και πλήρους απασχόλησης. 
Η Τράπεζα της Ελλάδος δύναται να παρέχει εξαίρεση 


απά την υποχρέωση αυτή σε ορισμένες κατηγορίες πι¬ 
στωτικών ιδρυμάτων, λαμβάνοντας υπόψη την αρχή της 
αναλογικότητας. 

4.4. Μεριμνά για την κατάλληλη οργανωτική δομή 
της ΜΕΕ, καθώς και για την εφαρμογή εκ μέρους της 
αποτελεσματικών πολιτικών, διαδικασιών και πρακτικών 
σύμφωνων με τις βέλτιστες ελεγκτικές πρακτικές και 
τα πρότυπα του εσωτερικού ελέγχου. 

4.5. Ενημερώνει εκ των υστέρων τα αρμόδια όργανα 
της Τράπεζας της Ελλάδος για σημαντικές μεταβολές 
σε σχέση με την οργάνωση και λειτουργία της ΜΕΕ. 

4.6. Εποπτεύει και συντονίζει τη δραστηριάτητα των 
μονάδων εσωτερικού ελέγχου στις λοιπές μονάδες του 
πιστωτικού ιδρύματος, εφόσον υφίστανται, και στις εται¬ 
ρείες του ομίλου. 

4.7. Παρίσταται στις Γενικές Συνελεύσεις των Μετόχων 
του πιστωτικού ιδρύματος. 

5. Η Μονάδα Εσωτερικής Επιθεώρησης είναι υπεύθυνη 
για τον έλεγχο της εφαρμογής των συμφωνηθέντων και 
την τήρηση των διαδικασιών όσον αφορά την ανάθεση 
δραστηριοτήτων σε τρίτους (Παράρτημα 1 της παρού¬ 
σας Πράξης). 

β. Μονάδα Διαχείρισης Κινδύνων 

1. Σε όλα τα πιστωτικά ιδρύματα θα υπάρχει υπηρεσι¬ 
ακή Μονάδα Διαχείρισης Κινδύνων (ΜΔΚ), η λειτουργία 
της οποίας θα διέπεται από τις ακόλουθες αρχές: 

1.1. Είναι διοικητικά ανεξάρτητη από μονάδες με εκτε¬ 
λεστικές αρμοδιότητες και από τις υπηρεσίες που είναι 
αρμόδιες για την πραγματοποίηση ή λογιστικοποίηση 
συναλλαγών και αξιοποιούν την ανάλυση των κινδύνων 
που διενεργεί. 

1.2. Αναφέρεται, για θέματα της αρμοδιότητάς της, 
στη Διοίκηση και στην Επιτροπή Διαχείρισης Κινδύνων 
ή και μέσω αυτής στο Δ.Σ. 

2. Η ΜΔΚ υπόκειται στον έλεγχο της Μονάδας Εσωτε¬ 
ρικής Επιθεώρησης ως προς την επάρκεια και αποτελε- 
σματικάτητα των διαδικασιών διαχείρισης κινδύνων. 

3. Η ΜΔΚ έχει την ευθύνη για το σχεδίασμά, εξειδίκευ- 
ση και υλοποίηση της πολιτικής σε θέματα διαχείρισης 
κινδύνων και κεφαλαιακής επάρκειας, σύμφωνα με τις 
κατευθύνσεις του Δ.Σ.. Ειδικότερα: 

3.1. Χρησιμοποιεί τις κατάλληλες μεθάδους για τη 
διαχείριση των κινδύνων τους οποίους εν γένει το πι¬ 
στωτικά ίδρυμα αναλαμβάνει ή στους οποίους μπορεί 
να εκτεθεί, συμπεριλαμβανομένης της χρήσης υποδειγ¬ 
μάτων (πιοάθΙε) για την πρόβλεψη, αναγνώριση, μέτρηση, 
παρακολούθηση, αντιστάθμιση, μείωση και αναφορά 
τους. 

3.2. Εξειδικεύει (με τη συνεργασία των αρμόδιων εκτε¬ 
λεστικών μονάδων) τα όρια ανάληψης κινδύνων του 
πιστωτικού ιδρύματος ταυτοποιώντας/καθορίζοντας 
τις επιμέρους παραμέτρους κατά είδος κινδύνου και 
ανά κατηγορία αντισυμβαλλομένου, κλάδο, χώρα, νό¬ 
μισμα, είδος πιστοδοτήσεων, μορφή χρηματοπιστωτι¬ 
κών τίτλων, μετοχών, παραγώγων, επιχειρησιακό χώρο, 
λειτουργία, δραστηριότητα, προϊόν, σύστημα κλπ και 
παρακολουθεί την τήρησή τους, θεσπίζοντας τις κα¬ 
τάλληλες διαδικασίες. 

3.3. Καθορίζει κριτήρια έγκαιρου εντοπισμού κινδύνων 
(θ3Γΐγ ννβΓπΙηρ δγεΐοπι) σε ατομικά και συνολικά χαρτο¬ 
φυλάκια και εισηγείται για τις κατάλληλες διαδικασίες 
και μέτρα αυξημένης παρακολούθησης, διαρκώς, ή και 
περιοδικά, αναλόγως της φύσεως των κινδύνων. 
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3.4. Εισηγείται στην Επιτροπή Διαχείρισης Κινδύνων 
τις κατάλληλες τεχνικές προσαρμογής των κινδύνων 
στα αποδεκτά επίπεδα. 

3.5. Αξιολογεί περιοδικά την επάρκεια των μεθάδων 
και συστημάτων αναγνώρισης, μέτρησης και παρακο¬ 
λούθησης κινδύνων και προτείνει διορθωτικά μέτρα 
εφόσον κριθεί σκόπιμο. 

3.6. Διενεργεί ετησίως (με στοιχεία τέλους έτους ή 
εξαμήνου) δοκιμές προσομοίωσης καταστάσεων κρίσης 
(δΐΓΘδδ ίβδΐδ) με σενάρια προσαρμοσμένα στη φύση των 
δραστηριοτήτων του πιστωτικού ιδρύματος ή/και κατόπιν 
οδηγιών της Τράπεζας της Ελλάδος για όλες τις μορφές 
των κινδύνων και ιδίως του πιστωτικού, αγοράς, επιτο¬ 
κίων και ρευστότητας, αναλύει τα αποτελέσματά τους, 
εισηγείται τις κατάλληλες πολιτικές και υποβάλλει τα 
σχετικά αποτελέσματα στην Τράπεζα της Ελλάδος (Διεύ¬ 
θυνση Εποπτείας Πιστωτικού Συστήματος) εντός τριών 
(3) μηνών από τη λήξη του έτους ή του εξαμήνου. 

3.7. Συντάσσει τις απαιτούμενες για την επαρκή 
πληροφόρηση της Διοίκησης και του Διοικητικού Συμ¬ 
βουλίου αναφορές σε θέματα της αρμοδιότητάς της, 
τουλάχιστον ανά τρίμηνο. Τα πιστωτικά ιδρύματα που 
δεν υπόκεινται σε σημαντική μεταβολή της διάρθρωσης 
των δραστηριοτήτων τους μπορούν να εφαρμόσουν 
διαφορετική συχνότητα. 

3.8. Προσδιορίζει τις κεφαλαιακές απαιτήσεις και την 
εν γένει ανάπτυξη μεθοδολογιών εκτίμησής τους για 
την κάλυψη όλων των κινδύνων στους οποίους εκτίθε¬ 
ται το πιστωτικό ίδρυμα και εισηγείται τις πολιτικές 
διαχείρισής τους. 

4. Για την αποτελεσματική άσκηση των αρμοδιοτήτων 
της, η ΜΔΚ: 

4.1. Έχει πρόσβαση σε όλες τις δραστηριότητες και 
μονάδες, καθώς και σε όλα τα στοιχεία και πληροφο¬ 
ρίες του πιστωτικού ιδρύματος και των εταιρειών του 
ομίλου, που είναι απαραίτητα για την εκπλήρωση του 
έργου της. 

4.2. Διαθέτει επαρκές, ποσοτικά και ποιοτικά, προσω¬ 
πικό με εξειδικευμένες γνώσεις, το οποίο είναι πλήρους 
και αποκλειστικής απασχόλησης. 

5. Ο επικεφαλής της Μονάδας Διαχείρισης Κινδύνων: 

5.1. Ορίζεται από το Διοικητικό Συμβούλιο (κατόπιν 
εισήγησης της Επιτροπής Διαχείρισης Κινδύνων, όπου 
υπάρχει) και η τοποθέτησή του όπως και η τυχόν αντικα¬ 
τάστασή του γνωστοποιούνται στην Τ ράπεζα της Ελλά¬ 
δος (Διεύθυνση Εποπτείας Πιστωτικού Συστήματος). Η 
Τράπεζα της Ελλάδος διατηρεί την ευχέρεια να ζητήσει 
την αντικατάστασή του σε περίπτωση που κρίνει ότι δεν 
πληρούνται τα κριτήρια καταλληλότητας ή επάρκειας 
για την εκπλήρωση των αρμοδιοτήτων του. 

5.2. Διαθέτει υψηλού επιπέδου γνώσεις και επαρκή 
εμπειρία σε θέματα διαχείρισης κινδύνων, τις σχετικές 
μεθόδους και τις βέλτιστες διεθνείς πρακτικές. 

5.3. Συμμετέχει στη διαδικασία λήψης αποφάσεων για 
τον καθορισμό των όρων των χρηματοδοτήσεων που 
δεν υπόκεινται σε προκαθορισμένες ή γενικές παρα¬ 
μέτρους. 

5.4. Υποβάλλει ετησίως έκθεση στο Δ.Σ., μέσω της 
ΕΔΚ, σχετικά με τα θέματα που εμπίπτουν στην αρμο¬ 
διότητα της ΜΔΚ. 

5.5. Συμμετέχει στη διατύπωση εισηγήσεων και προτά¬ 
σεων άμεσα στη Διοίκηση και μέσω της Επιτροπής Δια¬ 
χείρισης Κινδύνων στο Δ.Σ. για μεταβολές στη σύνθεση 


των χαρτοφυλακίων της τράπεζας για την αναδιάρθρω- 
ση/ρύθμιση υφιστάμενων δανείων και τη διαφοροποίηση 
της πολιτικής των προβλέψεων. 

5.6. Συμμετέχει στη διαδικασία αξιολόγησης από τις 
εποπτικές αρχές της επάρκειας του οικονομικού και 
εποπτικού κεφαλαίου. 

5.7. Εποπτεύει και συντονίζει τη δραστηριότητα των 
μονάδων διαχείρισης κινδύνων, εφόσον υφίστανται, στις 
λοιπές μονάδες του πιστωτικού ιδρύματος και στις εται¬ 
ρείες του ομίλου. 

γ. Μονάδα Κανονιστικής Συμμόρφωσης 

1.1. Στην περίπτωση που το πιστωτικό ίδρυμα πληροί 
μία από τις προϋποθέσεις των παρ. 2.1.1. και 2.1.2. του 
Κεφ. IV - ενότητα Β1 - ή το σύνολο των εντός και εκτός 
ισολογισμού στοιχείων του ενεργητικού του υπερβαί¬ 
νει το ποσό των € 10 δισεκ., συστήνεται υποχρεωτικά 
Μονάδα Κανονιστικής Συμμόρφωσης. Εναλλακτικά της 
υποχρέωσης αυτής, τα εν λόγω πιστωτικά ιδρύματα 
μπορούν να αναθέτουν τα αντίστοιχα καθήκοντα σε 
εξουσιοδοτημένους προς τούτο υπαλλήλους, μετά από 
έγκριση της Τράπεζας της Ελλάδος, η οποία θα αξιολο¬ 
γεί την παροχή της σχετικής δυνατότητας με βάση την 
πολυπλοκότητα των εργασιών του πιστωτικού ιδρύμα¬ 
τος και τους αναλαμβανόμενους από αυτό κινδύνους. 

1.2. Στα λοιπά πιστωτικά ιδρύματα τα προαναφερό- 
μενα καθήκοντα εκτελούνται από εξουσιοδοτημένους 
προς τούτο υπαλλήλους. 

2. Η μονάδα (ή τα εξουσιοδοτημένα, κατά τα ανωτέρω 
πρόσωπα), θα υπάγεται/ονται στη Διοίκηση και θα υπο- 
βάλλει/ουν αναφορές, τουλάχιστον ετησίως, για θέματα 
της αρμοδιότητάς της/τους και στο Δ.Σ. 

3. Η εν λόγω μονάδα (ή τα εξουσιοδοτημένα, κατά τα 
ανωτέρω πρόσωπα) θα είναι διοικητικά ανεξάρτητη/α, 
θα διασφαλίζεται η αποτροπή σύγκρουσης συμφερό¬ 
ντων κατά την άσκηση των αρμοδιοτήτων της / τους και 
θα έχει/έχουν τη δυνατότητα απρόσκοπτης πρόσβασης 
σε όλα τα στοιχεία και πληροφορίες που είναι απαραί¬ 
τητα για την εκπλήρωση της αποστολής της/τους. 

4. Η Μονάδα Κανονιστικής Συμμόρφωσης (ή τα εξουσι¬ 
οδοτημένα, κατά τα ανωτέρω πρόσωπα) υπόκειται/νται 
στο έλεγχο της Μονάδας Εσωτερικής Επιθεώρησης ως 
προς την επάρκεια και αποτελεσματικότητα των διαδι¬ 
κασιών της κανονιστικής συμμόρφωσης. 

5. Ως προς τη Μονάδα (ή Λειτουργία) Κανονιστικής 
Συμμόρφωσης καθορίζονται τα εξής: 

5.1. Διευθύνεται από επιλεγμένο πρόσωπο με επαρκείς 
γνώσεις των τραπεζικών και επενδυτικών δραστηριο¬ 
τήτων, η τοποθέτηση και η τυχόν αντικατάστασή του 
οποίου θα γνωστοποιούνται στην ΤτΕ. Η ΤτΕ διατηρεί τη 
ευχέρεια να ζητήσει την αντικατάσταση του προσώπου 
αυτού σε περίπτωση που κρίνει ότι δεν πληρούνται τα 
κριτήρια καταλληλότητας ή επάρκειας για την εκπλή¬ 
ρωση των αρμοδιοτήτων του. 

5.2. Έχει ως έργο τη θέσπιση και εφαρμογή κατάλ¬ 
ληλων διαδικασιών και την εκπόνηση σχετικού ετήσιου 
προγράμματος με στόχο να επιτυγχάνεται έγκαιρα η 
πλήρης και διαρκής συμμόρφωση του πιστωτικού ιδρύ¬ 
ματος προς το εκάστοτε ισχύον ρυθμιστικό πλαίσιο και 
τους εσωτερικούς κανονισμούς του πιστωτικού ιδρύμα¬ 
τος και να υφίσταται ανά πάσα στιγμή πλήρης εικόνα 
για το βαθμό επίτευξης του στόχου αυτού. 

5.3. Ενημερώνει τη Διοίκηση και το Δ.Σ. του πιστωτικού 
ιδρύματος για κάθε διαπιστωθείσα σημαντική παράβα- 
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ση του κατά τα ως άνω ρυθμιστικού πλαισίου ή τυχάν 
σημαντικές ελλείψεις. 

5.4. Σε περίπτωση τροποποιήσεων του εκάστοτε ισχύ- 
οντος ρυθμιστικού πλαισίου, παρέχει σχετικές σδηγίες 
για την αντίστοιχη προσαρμογή των εσωτερικών δι¬ 
αδικασιών και του εσωτερικού κανονιστικού πλαισίου 
που εφαρμάζονται απά τις υπηρεσιακές μονάδες του 
πιστωτικού ιδρύματος, καθώς και απά τα καταστήματα 
και τις θυγατρικές εταιρείες εσωτερικού και εξωτερικού. 
Διασφαλίζει τη διαρκή ενημέρωση των υπαλλήλων για 
τις εξελίξεις στο σχετικό με τις αρμοδιότητές τους ρυθ¬ 
μιστικό πλαίσιο, με τη θέσπιση κατάλληλων διαδικασιών 
και εκπαιδευτικών προγραμμάτων. 

5.5. Συντονίζει το έργο των υπευθύνων κανονιστικής 
συμμόρφωσης (οοπιρΙίαηοθ οίίίοβΓδ) των καταστημάτων 
εξωτερικού του πιστωτικού ιδρύματος και των θυγατρι¬ 
κών εταιρειών εσωτερικού και εξωτερικού, ώστε όλες οι 
μονάδες να συμμορφώνονται πλήρως με τις ισχύουσες 
διατάξεις κατά την έννοια του παρόντος κεφαλαίου. 

5.6. Διασφαλίζει, με κατάλληλες διαδικασίες, την τή¬ 
ρηση των προθεσμιών για την εκπλήρωση των υπο¬ 
χρεώσεων πσυ προβλέπσνται από το κατά τα ως άνω 
ρυθμιστικό πλαίσιο και παρέχει σχετική διαβεβαίωση 
προς το Δ.Σ.. 

5.7. Διασφαλίζει ότι τα πιστωτικό ίδρυμα συμμορφώ¬ 
νεται με το κανονιστικό πλαίσιο που σχετίζεται με την 
πρόληψη και καταστολή της νομιμοποίησης εσόδων από 
εγκληματικές δραστηριότητες και της χρηματοδότησης 
της τρσμοκρατίας. 

Ο επικεφαλής μπορεί, κατά την κρίση τσυ πιστωτικσύ 
ιδρύματος, και για λόγους αποτελεσματικότητας ή κό- 
στους/οφέλους να αναλαμβάνει και τις ειδικές θεσμικές 
αρμοδιότητες στον τομέα αυτό κατά τα προβλεπόμενα 
(ν.2331/1995, όπως τροποποιήθηκε με το ν. 3424/2005, 
Εγκύκλιος ΤτΕ 16/2.8.2004, όπως εκάστοτε ισχύει), να 
εισηγείται μέτρα ενίσχυσης της απστελεσματικότητας 
της εφαρμογής των υποχρεώσεων και να λειτουργεί ως 
σημείο επικοινωνίας, για τα θέματα ευθύνης του, με τις 
αρμόδιες αρχές και τα αρμόδια όργανα της Τράπεζας 
της Ελλάδος παρέχοντας τις αναγκαίες πληροφορίες. 

5.8. Στο πλαίσιο αυτής της αρμοδιότητας καθορίζονται 
οι κατάλληλες διαδικασίες και τα πρότυπα αναφσρών 
των υπόπτων συναλλαγών προς τις αρμόδιες αρχές, 
καθώς και οι διαδικασίες για την αμσιβαία πληροφό¬ 
ρηση μεταξύ των υπσκαταστημάτων, των θυγατρικών 
και της μητρικής και παρέχονται οδηγίες για την παύση 
διενέργειας συναλλαγών που θα έθεταν σε λειτουργικό 
κίνδυνο το πιστωτικό ίδρυμα. 

VI. Υπσχρεώσεις γνωστοποίησης στσιχείων 

1. Πέραν των ειδικών αναφορών που προβλέπονται 
στην παρσύσα Πράξη (Κεφ.ν - ενότητα β - παρ. 3.6.), 
τα πιστωτικά ιδρύματα υποβάλλουν μέχρι τη λήξη του 
πρώτου ημερολογιακού εξαμήνου κάθε έτους (ή της 
τριετίας για την περίπτωση 1.4.) στην Τράπεζα της Ελ¬ 
λάδας (Διεύθυνση Εποπτείας Πιστωτικού Συστήματος) 
τις πιο κάτω εκθέσεις, καθώς και τις αντίστοιχες αξιο¬ 
λογήσεις τους από τις αρμόδιες Επιτροπές: 

1.1. του ΣΕΕ από τη Μονάδα Εσωτερικής Επιθεώρησης 
(παρ. 2.13.2. του Κεφ. V - ενότητα α), συμπεριλαμβανομέ- 
νης της αξιολόγησης των Συστημάτων Πληρσφορικής, 

1.2. της διαχείρισης κινδύνων από τσν επικεφαλής της 
Μσνάδας Διαχείρισης Κινδύνων (σύμφωνα με την παρ. 
5.4 τσυ Κεφ.ν - ενότητα β), 


1.3. των θεμάτων αρμσδιότητας της Μσνάδας Κανσ- 
νιστικής Συμμόρφωσης (παρ. 2 του Κεφ. V - ενότητα 
γ), καθώς και 

1.4. του ΣΕΕ από τους εξωτερικούς ελεγκτές (παρ. 4.1. 
του Κεφ. IV - ενότητα Β2α και Παράρτημα 3). 

2. Διευκρινίζεται ότι οι ως άνω αναφορές δεν υπο- 
καθιστούν τις υποχρεώσεις των πιστωτικών ιδρυμά¬ 
των να θέτουν υπόψη των ελεγκτικών οργάνων της 
Τράπεζας της Ελλάδος, σύμφωνα με τις ειδικές περί 
πιστωτικών ιδρυμάτων διατάξεις (παρ. 2.14, ενότητα α, 
Κεφ. V), τα αναγκαία στοιχεία συμπεριλαμβανομένων και 
των πρακτικών των συζητήσεων σε επίπεδσ επιτροπών 
ή Δ.Σ., επί θεμάτων εσωτερικού ελέγχου και ποιότητας 
χαρτοφυλακίου, για τη διαπίστωση της τήρησης των 
υποχρεώσεων της παρσύσας, των προϋπσθέσεων κα¬ 
ταλληλότητας των υπευθύνων πρσσώπων κατά την εν 
γένει ισχύσυσα νσμοθεσία περί επσπτείας. 

VII. Εξσυσισδοτήσεις 

Εξσυσισδστείται η Διεύθυνση Επσπτείας Πιστωτικσύ 
Συστήματος της Τράπεζας της Ελλάδος: 

1. να παρέχει οδηγίες και διευκρινίσεις για την εφαρμο¬ 
γή της παρούσας Πράξης και των Παραρτημάτων της, 

2. να προσαρμόζει τα ειδικά όρια πσυ πρσβλέπονται 
για την εψαρμσγή επιμέρσυς διατάξεων της παρσύσας, 
με κριτήρια πσυ αφορσύν τσ μέγεθος, την πολυπλοκό- 
τητα των δραστηριοτήτων και τους αναλαμβανόμενους 
κινδύνους των πιστωτικών καθώς και των χρηματοδσ- 
τικών ιδρυμάτων, 

3. να εξειδικεύει, με τη μορφή Παραρτημάτων και 
Εγκυκλίων, που θα αποτελούν αναπόσπαστο τμήμα της 
παρούσας Πράξης, τις αρχές και κριτήρια της Πράξης 
αυτής και προσαρμόζοντάς τα προς την εκάστοτε ισχύ- 
ουσα νομοθεσία, τις βέλτιστες διεθνείς πρακτικές και 
εναρμονιστικού χαρακτήρα συστάσεις της Επιτροπής 
Ευρωπαϊκών Αρχών Τραπεζικής Εποπτείας (0ΕΒ8). 

4. να καθορίζει, με βάση τα κριτήρια της ανωτέρω 
παραγράφου 2, την έκταση εψαρμσγής επί μέρους δια¬ 
τάξεων της παρούσας από τις συνεταιριστικές τράπεζες 
και τα χρηματοδοτικά ιδρύματα, θεσπίζοντας, τις κατά 
περίπτωση κατάλληλες προϋπσθέσεις. 

VIII. Επιβολή κυρώσεων 

Τυχόν παραβίαση διατάξεων της παρούσας Πράξης 
δύναται να επισύρει την επιβσλή από την Τράπεζα της 
Ελλάδος κυρώσεων, κατά τα προβλεπόμενα στο άρθρο 
55Α του Καταστατικού της (άτοκη κατάθεση στην Τ ρά¬ 
πεζα της Ελλάδος, πρόστιμο υπέρ του Ελληνικού Δημο¬ 
σίου, διοικητικές κυρώσεις, όπως τα προαναψερόμενα 
εκάστοτε καθορίζονται με Πράξη του Διοικητή της Τρά¬ 
πεζας της Ελλάδος ή τα εξουσιοδοτημένα από αυτόν 
όργανα), καθώς και στο άρθρο 22 του ν. 2076/1992. 

IX. Αοιπές Διατάξεις 

1. Οι διατάξεις της παρούσας Πράξης ισχύουν από 31 
Μαίου.2006. 

2. Ειδικότερα, για τις διατάξεις της παρούσας πσυ 
αφορσύν: 

2.1. Στην υπσχρέωση σύστασης Επιτρσπής Διαχείρι¬ 
σης Κινδύνων, και Μονάδας (ή θέσπισης λειτουργίας) 
Κανονιστικής Συμμόρφωσης και 

2.2. τις βασικές αρχές και κριτήρια σε επίπεδο Ομίλου 
(Κεφ. III) 

παρέχεται η ευχέρεια εφαρμογής τους από 30 Σε- 
πτεμβρίου2006. 
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2.3. Στην εφαρμογή των Διεθνών Λογιστικών Προτύ¬ 
πων από το σύνολο των πιστωτικών ιδρυμάτων, ισχύουν 
από τη χρήση που λήγει την 31.12.2007 (ημερομηνία με¬ 
τάβασης στα Διεθνή Λογιστικά Πρότυπα 1.1.2006). 

3. Από την έναρξη ισχύος των αντίστοιχων διατάξεων 
της παρούσας: 

3.1. Καταργούνται οι διατάξεις της ΠΔ/ΤΕ 2438/6.8.1998, 
όπως τροποποιήθηκε με τις απόφ. ΕΤΠΘ 154/9/18.7.2003 
και 193/1/11.3.2005 και κάθε υφιστάμενη αναφορά σε 
αυτές νοείται στο εξής ως αναφορά στην παρούσα 
Πράξη. 

3.2. Το Παράρτημα της απάφ. ΕΤΠΘ 193/1/11.3.2005 «Αρ¬ 
χές ασφαλούς και αποτελεσματικής λειτουργίας των 
συστημάτων πληροφορικής στα πλαίσια της διαχείρισης 
του λειτουργικού κινδύνου από τα πιστωτικά ιδρύματα», 
άπως τροποποιείται, προσαρτάται στην παρούσα Πράξη, 
ως Παράρτημα 2 και αποτελεί στο εξής αναπόσπαστο 
τμήμα αυτής. 

Από τις διατάξεις της Πράξης αυτής δεν προκαλείται 
δαπάνη σε βάρος του Κρατικού Προϋπολογισμού. 

Η Πράξη αυτή να δημοσιευθεί στην Εφημερίδα της 
Κυβερνήσεως. 

Ο Διοικητής 

ΝΙΚΟΛΑΟΣ ΓΚΑΡΓΚΑΝΑΣ 


Παράρτημα 1 

ΑΝΑΘΕΣΗ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΣΕ ΤΡΙΤΟΥΣ 

(ουτδουροίΝΟ) 

Σύμφωνα με τις διατάξεις της παρ. 2.4 του Κεφ. II της 
παρούσας Πράξης, ως προς την ανάθεση δραστηριο¬ 
τήτων σε τρίτους, εφαρμάζονται τα εξής: 

Α.1. α) Δεν επιτρέπεται από τα πιστωτικά ιδρύματα η 
ανάθεση σε τρίτους των πιο κάτω υπό στοιχείο 1.1 έως 
1.2.6. δραστηριοτήτων. 

β) Στην ανωτέρω απαγόρευση δεν εμπίπτουν οι πε¬ 
ριπτώσεις, που οι πάροχοι διαθέτουν άδεια και επο¬ 
πτεύονται για την άσκηση των δραστηριοτήτων αυτών 
από την Τράπεζα της Ελλάδος, ή την Επιτροπή Κεφα¬ 
λαιαγοράς ή τις αρμόδιες εποπτικές αρχές χωρών του 
Ευρωπαϊκού Οικονομικού Χώρου (Ε.Ο.Χ.) ή τρίτων χω¬ 
ρών με ισοδύναμο καθεστώς εποπτείας κατά τις γενικά 
ισχύουσες διατάξεις. 

γ) Στις περιπτώσεις του προηγούμενου εδαφίου απαι¬ 
τείται μάνον έγκαιρη (τουλάχιστον 20 ημέρες πριν απά 
την υπογραφή της σύμβασης) προηγούμενη γνωστοποί¬ 
ηση στην Τράπεζα της Ελλάδος εκτάς από την περίπτω¬ 
ση, κατά την οποία ο πάροχος εδρεύει σε τρίτη (εκτός 
ΕΟΧ) χώρα, οπότε απαιτείται προηγούμενη σχετική 
άδεια της Τράπεζα της Ελλάδος, η οποία θα εξετάζεται 
επί τη βάσει της ισοδυναμίας του εποπτικού πλαισίου 
και της ευχέρειάς της να έχει πράσβαση στα στοιχεία 
ή να διενεργεί τους ελέγχους, που τυχάν απαιτούνται 
για την άσκηση του εποπτικού της έργου. 

Ι.Ι.Κύριες τραπεζικές και επενδυτικές δραστηριότη¬ 
τες: 

1.1.1. αποδοχή καταθέσεων ή άλλων επιστρεπτέων 
κεφαλαίων, 

1.1.2. χορήγηση πιστώσεων, 

1.1.3. πράξεις διενέργειας πληρωμών και μεταφοράς 
κεφαλαίων. 


1.1.4. έκδοση μέσων πληρωμής, 

1.1.5. λήψη και διαβίβαση εντολών για λογαριασμό 
τρίτων, 

1.1.6. εκτέλεση εντολών για λογαριασμό τρίτων, 

1.1.7. διαπραγμάτευση κινητών αξιών για ίδιο λογα- 
ριασμά, 

1.1.8. διαχείριση χαρτοφυλακίου για λογαριασμά τρίτων, 

1.1.9. αναδοχή και διάθεση κινητών αξιών, 

1.2. Παρεπόμενες τραπεζικές και επενδυτικές δραστη¬ 
ριότητες: 

1.2.1. πράξεις επί συναλλάγματος, επί χρυσού ή πολύ¬ 
τιμων μετάλλων, 

1.2.2. διάθεση, εγγραφή, αγορά διαχείριση φύλαξη και 
πώληση κινητών αξιών και χρηματοπιστωτικών μέσων, 

1.2.3. φύλαξη και διαχείριση χρηματοπιστωτικών μέσων, 

1.2.4. παροχή πιστώσεων για την εκτέλεση συναλλα¬ 
γών επί χρηματοπιστωτικών μέσων, 

1.2.5. υπηρεσίες συνδεόμενες με την αναδοχή, 

1.2.6. υπηρεσίες συναλλάγματος συνδεάμενες με την 
παροχή επενδυτικών υπηρεσιών. 

2. α) Επιτρέπεται μόνο μετά απά προηγούμενη άδεια 
της Τράπεζας της Ελλάδος, η ανάθεση του συνάλου των 
αρμοδιοτήτων των Μονάδων Εσωτερικής Επιθεώρησης, 
Διαχείρισης Κινδύνων, Κανονιστικής Συμμάρφωσης και 
των πληροφοριακών συστημάτων σε εταιρεία ελεγχό¬ 
μενη από το πιστωτικό ίδρυμα, κατά την έννοια του 
άρθρου 2 του ν. 2076/1992, όπως ισχύει. 

β) Επίσης άδεια της Τράπεζας της Ελλάδος απαι¬ 
τείται για την ανάθεση σε επιχείρηση της οποίας το 
πιστωτικό ίδρυμα δεν διατηρεί τον έλεγχο, επιμέρους 
καθηκόντων των Μονάδων Εσωτερικής Επιθεώρησης, 
Διαχείρισης Κινδύνων (π.χ. περιοδική αξιολάγηση συ¬ 
στημάτων διαβάθμισης). Κανονιστικής Συμμάρφωσης και 
των πληροφοριακών συστημάτων για τη μηχανογραφική 
υποστήριξη των κύριων δραστηριοτήτων της παρ. 1. 

3. Δεν απαιτείται προηγούμενη έγκριση της Τ ράπεζας 
της Ελλάδος: 

α) άταν οι δραστηριάτητες της ανωτέρω παραγράφου 
(2β) ανατίθενται σε πρόσωπα των οποίων το πιστωτι¬ 
κό ίδρυμα διατηρεί τον έλεγχο. Οι περιπτώσεις αυτές 
γνωστοποιούνται στην Τράπεζα της Ελλάδος είκοσι 
(20) τουλάχιστον ημέρες πριν από την υπογραφή της 
σύμβασης, 

β) για τις δραστηριότητες, που δεν εμπίπτουν στις 
παρ. 1 και 2 ανωτέρω, όπως ενδεικτικά: 

- η διαχείριση καρτών (εφόσον δεν συνοδεύεται με 
παροχή πίστωσης), 

- η παροχή νομικών συμβουλών, 

- η διαχείριση ανθρώπινου δυναμικού, 

- οι διαμεσολαβητικής φύσεως εργασίες (όπως, η προ¬ 
ώθηση προϊόντων και υπηρεσιών από πράκτορες του 
πιστωτικού ιδρύματος, η απλή ειδοποίηση οφειλετών για 
εξάφληση υποχρεώσεών τους, εκτός εάν συνοδεύεται 
και με είσπραξη μετρητών οπότε έχουν εφαρμογή οι 
διατάξεις της παρ. 2 περί παροχής αδείας κ.λπ.). 

Στις περιπτώσεις αυτές η Τράπεζα της Ελλάδος θα 
ενημερώνεται εγγράφως από το πιστωτικό ίδρυμα σε 
τριμηνιαία βάση, με αρχική ημερομηνία υποβολής την 
30.9.2006. 

Β.1. Το Διοικητικά Συμβούλιο, η Διοίκηση και τα αρμό¬ 
δια στελέχη του πιστωτικού ιδρύματος έχουν τη συνο¬ 
λική ευθύνη για τις εργασίες που ανατίθενται σε τρί¬ 
τους (ουΙεουΓοίης). Στο πλαίσιο αυτό ορίζουν και δια- 
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σφαλίζουν την τήρηση της σχετικής πσλιτικής, η οπσία 
περιλαμβάνει τουλάχιστον τα ακόλουθα: 

1.1 Τον προσδιορισμό των δραστηριοτήτων που μπο¬ 
ρούν να ανατεθούν σε τρίτους καθώς και τις ανάγκες 
και τους στόχους που θα εξυπηρετήσει η εν λόγω ανά¬ 
θεση. 

1.2. Την αξιολόγηση των κινδύνων που ενδέχεται να 
ενέχει η ανάθεση (ή και η τυχόν υποανάθεση) δραστη¬ 
ριοτήτων σε τρίτους και η θέσπιση μηχανισμών για τον 
έλεγχο των κινδύνων αυτών. Οι παράγοντες που πρέπει 
να ληφθούν υπόψη κατά την αξιολόγηση του κινδύνου 
περιλαμβάνουν την κρισιμότητα της ανατιθέμενης δρα¬ 
στηριότητας για το πιστωτικό ίδρυμα, την ύπαρξη εναλ¬ 
λακτικών παροχέων υπηρεσιών για τη συγκεκριμένη 
δραστηριότητα, το χρόνο και το κόστος που απαιτείται 
για την ανάληψη της δραστηριότητας εκ νέου από το 
πιστωτικό ίδρυμα ή τη μεταφορά της σε άλλο πάροχο 
υπηρεσιών σε περίπτωση αθέτησης της σύμβασης από 
τον πάροχο (παρ. 1.5.3) και η δυνατότητα ασφαλιστικής 
κάλυψης για το σύνολο ή μέρος των αναλαμβανόμενων 
κινδύνων. 

1.3. Τις διαδικασίες για την επιλογή του πάροχου υπη¬ 
ρεσιών. Το πιστωτικό ίδρυμα πρέπει να ελέγξει την κα¬ 
ταλληλότητα, τη νομιμότητα δραστηριοποίησης, καθώς 
και την επάρκεια του παρόχου υπηρεσιών όσον αφορά 
την οικονομική του κατάσταση και τις εφαρμοζόμενες 
διαδικασίες λειτουργίας και ελέγχου, ώστε να διασφα¬ 
λίσει ότι ο πάροχος είναι σε θέση να παρέχει το απαι- 
τούμενο επίπεδο υπηρεσιών. 

1.4. Τη σύναψη σύμβασης μεταξύ του πιστωτικού ιδρύ¬ 
ματος και του παρόχου υπηρεσιών. Η σύμβαση πρέπει 
να περιγράφει αναλυτικά όλους τους όρους και τις 
υποχρεώσεις των δύο συμβαλλομένων μερών και να 
περιλαμβάνει ειδικότερα: 

1.4.1. Το σαφή προσδιορισμό της ανατεθείσας δραστη¬ 
ριότητας, της ποιότητας εξυπηρέτησης και απόδοσης 
καθώς και τις επιπτώσεις από τη μη τήρηση των συμ- 
φωνηθέντων. Επίσης, θα καθορίζεται ρητή υποχρέωση 
του παρόχου ότι θα τηρεί τους κατάλληλους κανό¬ 
νες συμπεριφοράς και κώδικες δεοντολογίας, καθώς 
και ότι κατά την εκτέλεση της ανατεθείσας σε αυτόν 
δραστηριότητας θα λαμβάνεται η κατάλληλη πρόνοια, 
ώστε να μη δημιουργείται η εντύπωση ότι ο πάροχος 
ενεργεί για ίδιο λογαριασμό αλλά για λογαριασμό του 
πιστωτικού ιδρύματος. 

1.4.2. Την ανάγκη τήρησης και προστασίας της εμπι¬ 
στευτικότητας των πληροφοριών που αφορούν τα 
πιστωτικά ιδρύματα ή / και τους πελάτες τους από 
σκόπιμη ή ακούσια αποκάλυψή τους σε μη εξουσιοδο¬ 
τημένα άτομα. 

1.4.3. Την περιγραφή των διαδικασιών του εσωτερικού 
ελέγχου, του σχεδίου έκτακτης ανάγκης καθώς και των 
λοιπών μέτρων διαχείρισης κινδύνου που υποχρεούται 
να τηρεί ο πάροχος υπηρεσιών. 

1.4.4. Τη δυνατότητα ελεύθερης πρόσβασης του πι¬ 
στωτικού ιδρύματος στις οικονομικές καταστάσεις, στις 
εκθέσεις των εσωτερικών και εξωτερικών ελεγκτών 
καθώς και στα αρχεία του παρόχου υπηρεσιών ή σε 
οποιεσδήποτε πληροφορίες αφορούν την ανατεθείσα 
δραστηριότητα. 

1.4.5. Τη δυνατότητα της Τράπεζας της Ελλάδος να 
έχει πρόσβαση στα οικονομικά στοιχεία που αφορούν 
την εκχωρούμενη δραστηριότητα, καθώς και να διενερ¬ 


γεί επιτόπιους ελέγχους, προκειμένου να διαπιστώσει 
τη συνεπή τήρηση των συναφών υποχρεώσεων των 
πιστωτικών ιδρυμάτων προς το ισχύον εποπτικό πλαίσιο 
και την εν γένει νόμιμη εκτέλεσή τους από τον πάροχο 
των υπηρεσιών. 

1.4.6. Τον τρόπο χειρισμού ενδεχόμενων διαφωνιών, 
μετατροπών στην αρχική σύμβαση και διακοπής της 
συνεργασίας μεταξύ του πιστωτικού ιδρύματος και του 
παρόχου υπηρεσιών. 

1.5. Τη θέσπιση ενός συνολικού προγράμματος δια¬ 
χείρισης του κινδύνου ανάθεσης δραστηριοτήτων σε 
τρίτους, που θα περιλαμβάνει: 

1.5.1. Τη διαρκή παρακολούθηση της οικονομικής κα¬ 
τάστασης του παρόχου υπηρεσιών και των διαδικασιών 
διεκπεραίωσης των ανατεθεισών σε αυτόν δραστηριο¬ 
τήτων (με ιδιαίτερη έμφαση στις διαδικασίες ελέγχου 
και έκτακτης ανάγκης) καθώς και την αξιολόγησή του με 
βάση προκαθορισμένα ποιοτικά και ποσοτικά κριτήρια. 
Η Διοίκηση του πιστωτικού ιδρύματος θα προσδιορίσει 
την καθ’ ύλην αρμόδια υπηρεσιακή μονάδα που θα εί¬ 
ναι υπεύθυνη για τα ανωτέρω και θα φροντίσει για τη 
στελέχωσή της με εξειδικευμένο προσωπικό, στο οποίο 
θα παρέχεται η απαιτούμενη εκπαίδευση. Η εφαρμογή 
των συμφωνηθέντων καθώς και η τήρηση των σχετικών 
διαδικασιών θα υπόκειται στον έλεγχο της Μονάδας 
Εσωτερικής Επιθεώρησης. 

1.5.2. Την τήρηση των απαιτούμενων από το πιστωτικό 
ίδρυμα αρχείων που αφορούν την ανατεθείσα δραστη¬ 
ριότητα στον πάροχο υπηρεσιών, προκειμένου να καθί¬ 
σταται εφικτός ο έλεγχός τους από τους εσωτερικούς 
και τους εξωτερικούς ελεγκτές του πιστωτικού ιδρύμα¬ 
τος, καθώς και από τις αρμόδιες εποπτικές αρχές. 

1.5.3. Την ύπαρξη σχεδίου εκτάκτου ανάγκης, που θα 
αφορά την εκ νέου ανάληψη της ανατεθείσας δραστη¬ 
ριότητας από το πιστωτικό ίδρυμα ή την ανάθεσή της 
σε τρίτους, σε περίπτωση που ο πάροχος υπηρεσιών 
δεν είναι σε θέση να εκπληρώσει τις συμβατικές του 
υποχρεώσεις, έτσι ώστε να διασφαλιστεί η εύρυθμη 
λειτουργία του πιστωτικού ιδρύματος. 

2. Ενδεχόμενη δυνατότητα υποανάθεσης της εργασίας 
που, βάσει των ανωτέρω, ανατίθεται αρχικά από το πι¬ 
στωτικό ίδρυμα σε ανεξάρτητο επαγγελματία ή εταιρεία 
(οΜαίη- ουΐεουΓοίηρ), επιτρέπεται μόνον εφόσον η σχε¬ 
τική δυνατότητα προβλέπεται στη σύμβαση ανάθεσης 
που συνάπτει το πιστωτικό ίδρυμα και υπό τον όρο ότι 
ρητά θα διασφαλίζεται η εκπλήρωση όλων των ανωτέρω 
προϋποθέσεων υπ’ ευθύνη του πιστωτικού ιδρύματος. 
Στις περιπτώσεις αυτές το πιστωτικό ίδρυμα οφείλει 
να αξιολογεί και να λαμβάνει ιδιαίτερη μέριμνα για τον 
κίνδυνο αθέτησης από τον άμεσα αντισυμβαλλόμενο 
των συμβατικών του υποχρεώσεων, με υπαιτιότητα του 
τελικού παρόχου της υπηρεσίας. 

Παράρτημα 2 

ΑΡΧΕΣ ΑΣΦΑΛΟΥΣ ΚΑΙ ΑΠΟΤΕΛΕΣΜΑΤΙΚΗΣ ΛΕΙΤΟΥΡΓΙΑΣ 
ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ 

ΣΤΑ ΠΛΑΙΣΙΑ ΤΗΣ ΔΙΑΧΕΙΡΙΣΗΣ ΤΟΥ ΛΕΙΤΟΥΡΓΙΚΟΥ 
ΚΙΝΔΥΝΟΥ ΑΠΟ ΤΑ ΠΙΣΤΩΤΙΚΑ ΙΔΡΥΜΑΤΑ 

ΕΙΣΑΓΩΓΗ 

Το παρόν θέτει ένα δομημένο και λεπτομερές πλαί¬ 
σιο γενικών αρχών και κριτηρίων για την ασφαλή και 
αποτελεσματική λειτουργία των Πληροφοριακών Συστη- 
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μάτων (ΠΣ), λαμβάνοντας παράλληλα υπόψη τις πλέον 
πρόσφατες εξελίξεις της πληροφορικής στον βαθμό 
που επηρεάζουν την λειτουργία των Πιστωτικών Ιδρυ¬ 
μάτων (ΠΙ). Το πλαίσιο αποτελεί τη βάση αξιολόγησης 
των ΠΙ στο συγκεκριμένο τομέα και θα συμβάλλει ση¬ 
μαντικά στην απστελεσματική διαχείριση του λειτουρ¬ 
γικού κινδύνου που σχετίζεται με τα Πληροφσριακά Συ¬ 
στήματα. 

Οι αρχές αυτές ομαδοποιούνται σε τέσσερις ενότητες 
και συγκεκριμένα στις: 

• Οργάνωση και Διοίκηση Πληροφορικής, όπου γίνεται 
αναφορά στην Διακυβέρνηση της Πληρσφορικής, στην 
οργάνωση της Υπηρεσιακής Μονάδας της Πληροφορικής 
και στις σχέσεις με τους Εξωτερικούς Συνεργάτες. 

• Ανάπτυξη και Προμήθεια Συστημάτων, όπου γίνεται 
αναφορά στις μεθοδολογίες, πρότυπα και διαδικασίες 
ανάπτυξης και προμήθειας Πληροφοριακών Συστημά¬ 
των. 

• Λειτσυργία και Υποστήριξη, όπου γίνεται αναφορά 
στις διαδικασίες λειτσυργίας των συστημάτων, στη φυ¬ 
σική και λογική τους ασφάλεια, καθώς και στη διασφά¬ 
λιση της συνέχειας των εργασιών του ΠΙ. 

• Έλεγχος Συστημάτων Πληροφσρικής, όπου γίνεται 
αναφορά σε κανόνες και βασικές απαιτήσεις για την 
επαρκή και απστελεσματική λειτουργία της Μονάδας 
Εσωτερικής Επιθεώρησης αναφορικά με τα Πληροφο¬ 
ριακά Συστήματα. 

Α. ΟΡΓΑΝΩΣΗ ΚΑΙ ΔΙΟΙΚΗΣΗ ΠΑΗΡΟΦΟΡΙΚΗΣ 

Α1. Διακυβέρνηση Πληρσφορικής 

Η Διακυβέρνηση της Πληροφορικής (ΙηίοΓπιαΐΙοη 
ΤθθΙτηοΙθ 9 γ ΟονβΓηαηοΘ) είναι ευθύνη της Διοίκησης 
τσυ ΠΙ. Περιλαμβάνει το σύνολο των κατάλληλων επι¬ 
χειρησιακών δομών και διαδικασιών μέσω των σποίων 
διασφαλίζεται ότι η Πληροφσρική υποστηρίζει τη στρα¬ 
τηγική και τους στόχους του ΠΙ, διαχειρίζεται αποτε¬ 
λεσματικά τους πόρους που της διατίθενται, αξιολογεί 
και διαχειρίζεται αποτελεσματικά τους κινδύνους που 
απορρέουν από την λειτουργία των Πληροφοριακών 
Συστημάτων, εφαρμόζει πιστά την Πολιτική Ασφάλει¬ 
ας, είναι σε θέση να μετρήσει την αποτελεσματικότη- 
τα και αποδοτικότητά της και τέλος υλοποιεί ένα σύ¬ 
νολο μηχανισμών ελέγχου στα πλαίσια ενός γενικότε¬ 
ρου ελεγκτικού πλαισίου. 

Για την επίτευξη των προαναφερθέντων το ΠΙ θα πρέπει: 

1. να διαθέτει καταγεγραμμένη και εγκεκριμένη στρα¬ 
τηγική για την Πληροφσρική, συμβατή με τη γενικότε¬ 
ρη επιχειρησιακή στρατηγική τσυ. Η στρατηγική της 
Πληροφορικής οφείλει, αφενός μεν να υλοποιεί τους 
επιχειρησιακούς στόχους που έχουν τεθεί από τη Διοί¬ 
κηση τσυ ΠΙ, αφετέρσυ δε να διαμορφώνει έγκαιρα την 
απαραίτητη τεχνολογική υποδομή για τις μελλοντικές 
ανάγκες του οργανισμού. Το ΠΙ πρέπει να διαθέτει τα 
κατάλληλα υπηρεσιακά όργανα και διαδικασίες για τη 
χάραξη της στρατηγικής της Πληροφορικής, την τήρηση 
και την περιοδική ενημέρωσή της, ώστε να εναρμονίζε¬ 
ται διαρκώς με τους εκάστοτε επιχειρησιακούς στόχους 
και το εκάστοτε ισχύον θεσμικό πλαίσιο. Η εγκεκριμένη 
στρατηγική της Πληροφορικής πρέπει να περιλαμβάνει 
τόσο βραχυπρόθεσμα (ετήσια) όσα και μέσα - μακρο¬ 
πρόθεσμα (τριετή) σχέδια. 

2. να διαθέτει Ειδική Συντονιστική Επιτρσπή για την 
Πληροφσρική (Ι.Τ. δΐθθΓΐης ΟσπιπιΙΙΙθθ). Επικεφαλής της 
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επιτροπής συνιστάται να είναι μέλος της Διοίκησης με 
γνώση των θεμάτων πληρσφορικής και μέλη διευθυντι¬ 
κά στελέχη του οργανισμού. Ο ρόλος, τα καθήκοντα 
και η ελάχιστη σύνθεση της Επιτροπής θα πρέπει να 
ορίζονται σε επίσημο κανονισμό. Στα καθήκοντα της 
Επιτροπής, μεταξύ άλλων, περιλαμβάνονται: 

• η αξιολόγηση των βραχυπρόθεσμων και μέσο-μα- 
κροπρόθεσμων σχεδίων της Πληροφορικής στα πλαίσια 
της επιχειρησιακής στρατηγικής, 

• η αξισλόγηση της Ανάλυσης και Διαχείρισης των 
Κινδύνων που σχετίζονται με τα Πληροφοριακά Συστή¬ 
ματα, 

• η αξιολόγηση και έγκριση μεγάλων προμηθειών υλι¬ 
κού και λογισμικού, 

• η εποπτεία των μεγάλων έργων και του προϋπολο¬ 
γισμού της Πληροφορικής, 

• ο καθορισμός πρστεραιστήτων, 

• η αξισλόγηση πολιτικών, προτύπων και διαδικασιών, 

• η έγκριση και εποπτεία των συνεργασιών με τρίτους 
(π.χ. θέματα ουΐδουΓθίη 9 ). 

Η Επιτροπή, τέλος, θα πρέπει να λαμβάνει γνώση των 
πσρισμάτων των ελέγχων που διενεργούνται στα Πλη- 
ρσφοριακά Συστήματα. 

3. να αξισλογεί, κατηγορισπσιεί και διαχειρίζεται τσυς 
κινδύνους που απορρέουν από την ανάπτυξη, ενσωμά¬ 
τωση και λειτουργία των Πληροφοριακών Συστημάτων. 
Οι κίνδυνοι αυτοί θα πρέπει να συνεκτιμούνται με τους 
υπόλοιπους κινδύνους στους οποίους είναι εκτεθειμένο 
το ΠΙ. 

4. να διαθέτει καταγεγραμμένη και εγκεκριμένη από 
την Διοίκηση Πολιτική Ασφάλειας για τα Πληροφσριακά 
Συστήματα με τη μορφή αρχών - δεσμεύσεων, σι οπσίες 
θα πρσδιαγράφουν τις κατευθύνσεις και τσυς στόχους 
του οργανισμού για την αποτελεσματική διαχείριση, 
προστασία και κατανσμή των πληροφοριακών του πό¬ 
ρων. Η Πολιτική Ασφάλειας σφείλεΐ: 

(I) να παραπέμπει σε συγκεκριμένα πρότυπα και διαδι¬ 
κασίες δεσμεύοντας έτσι τις υπηρεσιακές μονάδες στην 
υλσποίηση και το προσωπικό στην τήρησή τους, 

(μ) να προσφέρει ένα κανσνιστικό πλαίσιο βάσει του 
οποίου διενεργούνται οι έλεγχοι και 

(ϋί) να προσαρμόζεται και ενημερώνεται βάσει θεσμσ- 
θετημένων διαδικασιών. 

Το περιεχόμενο της Πολιτικής Ασφάλειας θα πρέπει 
να κσινοποιείται στο προσωπικό του ΠΙ και να υπάρχει 
από αυτό η έγγραφη αποδοχή του. Η ύπαρξη της Πο¬ 
λιτικής Ασφάλειας, οι στόχοι της, η σύνοψή της, και το 
περιεχόμενο συγκεκριμένων τμημάτων της -αν αυτό 
απαιτείται-, μπορεί να γνωστοποιείται στο κοινό, έτσι 
ώστε να προάγεται τσ αίσθημα εμπιστοσύνης των πε¬ 
λατών απέναντι στο ΠΙ. 

5. να διαθέτει, πέραν της Πολιτικής Ασφάλειας, την 
κατάλληλη δισικητική δσμή που θα εγγυάται τη ασφά¬ 
λεια των επιχειρησιακών πληροφοριών. Στο πλαίσιο 
αυτής της δομής θα πρέπει τουλάχιστον να προβλέπε- 
ται θέση Υπεύθυνου Ασφάλειας ΠΣ, η αμεροληψία και η 
ανεξαρτησία τσυ οποίου θα πρέπει να διασφαλίζονται 
μέσω της απευθείας αναφοράς του σε υψηλά κλιμάκια 
της ιεραρχίας. 

6. να μεριμνά ώστε σι υπάρχουσες πολιτικές, πρό¬ 
τυπα, διαδικασίες και μεθοδσλογίες να είναι επίσημα 
καταγεγραμμένες και εγκεκριμένες από τα αρμόδια 
υπηρεσιακά όργανα. 
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7. να διαθέτει πρότυπα και μεθοδολογίες για το σχε¬ 
δίασμά και την ανάπτυξη των Πληροφοριακών Συστη¬ 
μάτων, καθώς και διαδικασίες για την καθημερινή τους 
λειτουργία και υποστήριξη. 

8. να διαθέτει πρότυπα και διαδικασίες για τη διαχεί¬ 
ριση των έργων πληροφορικής. Στην πρόταση για την 
υλοποίηση κάθε μεγάλου έργου πληροφορικής πρέπει 
να προσδιορίζεται ο επιχειρησιακός στόχος, καθώς και 
τα ποιοτικά και ποσοτικά οφέλη που θα αποφέρει η 
υλοποίησή του. Η αποτελεσματική έκβαση ενός έργου 
διασφαλίζεται με την ύπαρξη και τήρηση καταλλήλων 
μεθοδολογιών και πρακτικών που ακολουθούνται σε 
όλο τον κύκλο ζωής του. Σε αυτές περιλαμβάνονται, 
μεταξύ άλλων, η μεθοδολογία και τα εργαλεία παρακο¬ 
λούθησης του έργου, ο συντονισμός των απαιτούμενων 
ενεργειών και πόρων, η τήρηση χρονοδιαγραμμάτων, η 
παρακολούθηση του κόστους, η συμμετοχή των στελε¬ 
χών τόσο της Πληροφορικής όσο και των άλλων επιχει¬ 
ρησιακών μονάδων στις διάφορες φάσεις υλοποίησης, 
η μεθοδολογία διαχείρισης αλλαγών, η εκπαίδευση του 
προσωπικού. Τέλος, η διασφάλιση της ποιότητας πρέπει 
να αποτελεί ανεξάρτητη διαδικασία στην οργάνωση και 
διαχείριση ενός έργου πληροφορικής. 

9. να εγγυάται την ποιότητα των παρεχόμενων υπη¬ 
ρεσιών πληροφορικής μέσω της ύπαρξης διαδικασιών 
διασφάλισης ποιότητας και εναρμόνισης με τα πρότυ¬ 
πα ποιότητας που έχει θέσει το ΠΙ. Η ποιότητα πρέπει 
να διασφαλίζεται σε όλα τα στάδια του κύκλου ζωής 
των συστημάτων και να καλύπτει τα παραδοτέα, την 
τεκμηρίωση, την εκπαίδευση, τις προδιαγραφές, τις δι¬ 
αδικασίες, και τα σχέδια υλοποίησης ενός έργου. 

10. να διαθέτει τις κατάλληλες διαδικασίες για τον 
έγκαιρο εντοπισμό και την αποτελεσματική αντιμετώ¬ 
πιση των προβλημάτων που προκύπτουν στα Πληρο¬ 
φοριακά Συστήματα. 

11 να διαθέτει διαδικασίες καταγραφής και κατηγορι- 
οποίησης των γεγονότων που δημιουργούν λειτουργι¬ 
κό κίνδυνο, συμπεριλαμβανομένων των ζημιών (όθΐ&ίΙθό 
θνθπΐ ΐγρθ Ιοςςίηρ αηό αΙαεδίίίααΐίοη) που προέρχονται 
από προβλήματα στα Πληροφοριακά Συστήματα (π.χ. μη 
εξουσιοδοτημένη δραστηριότητα, κλοπή μηχανογραφι¬ 
κού εξοπλισμού, απάτη, παραβίαση ασφάλειας, μη δια¬ 
θεσιμότητα συστημάτων, καταστροφή μηχανογραφικού 
εξοπλισμού, κακόβουλη χρήση, κα) και ενημέρωσης των 
αρμόδιων υπηρεσιακών μονάδων (Διαχείρισης Κινδύνων 
και Εσωτερικής Επιθεώρησης), για την αποτελεσματι¬ 
κότερη καταγραφή και αντιμετώπιση του λειτουργικού 
κινδύνου. Η καταγραφή θα πρέπει να είναι συστηματική 
με στόχο την δημιουργία ιστορικότητας και λεπτομερής 
έτσι ώστε να περιγράφει με σαφήνεια το γεγονός. Οι 
σχετικές πληροφορίες θα πρέπει να καταγράφονται 
ηλεκτρονικά και να δομούνται με τέτοιο τρόπο ώστε να 
διευκολύνεται η αυτόματη παραγωγή αναφορών αλλά 
και η άμεση ενημέρωση των εμπλεκόμενων υπηρεσια¬ 
κών μονάδων. 

12. να διαθέτει Σύστημα Διοικητικής Πληροφόρησης 
(Μ.Ι.8. - ΜαηαςΘΓπβηί Ιπίοιηπαΐίοη δγείοπΊ), κατάλληλο για 
την αποτελεσματική πληροφόρηση της Διοίκησης του 
ΠΙ.Ένα τέτοιο σύστημα θα πρέπει να χαρακτηρίζεται 
από την ομοιόμορφη και βάσει καταγεγραμμένων διαδι¬ 
κασιών συλλογή και επεξεργασία, την έγκαιρη διάθεση, 
την ακρίβεια, την αξιοπιστία, και την πληρότητα των 
πληροφοριών. Η συλλογή και επεξεργασία των απα¬ 


ραίτητων πληροφοριών θα πρέπει να γίνεται όσο το 
δυνατόν πιο αυτοματοποιημένα. 

13. να γνωρίζει και να συμμορφώνεται με το νομικό, 
εποπτικό και κανονιστικό πλαίσιο σε ό,τι αφορά θέματα 
πληροφορικής. 

14. να μελετά, να αξιολογεί και να εφαρμόζει, όπου 
κρίνει απαραίτητο, τα διεθνή πρότυπα και μεθοδολο¬ 
γίες διαχείρισης και ασφάλειας των Πληροφοριακών 
Συστημάτων, καθώς επίσης να παρακολουθεί και να 
λαμβάνει υπόψη τις διεθνείς εξελίξεις στους συγκεκρι¬ 
μένους τομείς. 

Α2. Οργάνωση Υπηρεσιακής Μονάδας Πληροφορικής 

Το Πιστωτικό'Ιδρυμα θα πρέπει να διαθέτει εξειδικευ- 
μένη Υπηρεσιακή Μονάδα Πληροφορικής, λειτουργικά 
και διοικητικά ανεξάρτητη από τους τελικούς χρήστες 
των υπηρεσιών πληροφορικής, η οποία θα πρέπει: 

1. να διαθέτει οργανόγραμμα στο οποίο: 

• απεικονίζονται οι επιχειρησιακές και οργανωτικές 
ανάγκες της μονάδας και περιγράφονται με σαφήνεια 
οι αρμοδιότητες των επί μέρους υπηρεσιακών μονάδων 
που το αποτελούν, 

• απεικονίζεται ο διαχωρισμός των καθηκόντων προ- 
κειμένου να αποκλείεται η ύπαρξη ασυμβίβαστων ρόλων, 
παρέχεται η δυνατότητα καταλογισμού των ευθυνών 
και αξιοποιούνται με τον καταλληλότερο τρόπο οι δυ¬ 
νατότητες του προσωπικού. Ειδικότερα, θα πρέπει να 
διασφαλίζεται ότι διαχωρίζονται πλήρως οι λειτουργίες 
που σχετίζονται με το σχεδίασμά και την ανάπτυξη των 
συστημάτων από τις λειτουργίες που αφορούν στην 
καθημερινή λειτουργία τους, 

• προβλέπεται, ανάλογα με το μέγεθος του ΠΙ και την 
πολυπλοκότητα των συστημάτων, υπηρεσιακή Μονάδα 
Ασφάλειας των ΠΣ. Η συγκεκριμένη υπηρεσιακή μονάδα, 
μαζί με τον Υπεύθυνο Ασφάλειας των ΠΣ, πρέπει να 
διαμορφώνουν ολοκληρωμένη εικόνα για το επίπεδο 
ασφάλειας των συστημάτων και τους κινδύνους που 
απορρέουν από την ανάπτυξη, ενσωμάτωση και λει¬ 
τουργία τους. Στις αρμοδιότητές τους περιλαμβάνονται, 
μεταξύ άλλων, η συμμετοχή στην αξιολόγηση και δια¬ 
χείριση των κινδύνων των ΠΣ, η σύνταξη και ενημέρωση 
της πολιτικής ασφάλειας, η συμμετοχή στη διαδικασία 
εύρεσης λύσεων για την κάλυψη κενών ασφάλειας και 
την αντιμετώπιση έκτακτων περιστατικών κα. 

• εξασφαλίζεται η αναπλήρωση του προσωπικού του¬ 
λάχιστον στις κρίσιμες μηχανογραφικές λειτουργίες. 

2. να διαθέτει καταγεγραμμένες και επίσημα εγκε¬ 
κριμένες περιγραφές θέσεων εργασίας στις οποίες θα 
περιλαμβάνονται οι αρμοδιότητες, οι υπευθυνότητες και 
οι δεξιότητες που απαιτούνται για κάθε θέση. 

Α3. Σχέσεις με Εξωτερικούς Συνεργάτες 

Όταν το ΠΙ συνεργάζεται με εξωτερικούς συνεργάτες 
σε θέματα πληροφορικής (Πάροχοι Υπηρεσιών Πληρο¬ 
φορικής - Π.Υ.Π., προμηθευτές, κ.λπ.) κατά τα προβλεπό- 
μενα στο Παράρτημα 1 της παρούσας Πράξης, θα πρέπει 
να λαμβάνονται υπόψη ειδικότερα τα εξής: 

1. η χρήση εξωτερικών συνεργατών, ενώ μπορεί να επι¬ 
λύει σημαντικά προβλήματα, δημιουργεί πεδίο πρόσθε¬ 
των κινδύνων για το ΠΙ, οι οποίοι πρέπει να εντοπισθούν, 
εκτιμηθούν και αντιμετωπισθούν αποτελεσματικά. Στους 
κινδύνους αυτούς περιλαμβάνονται: 

• η έλλειψη ουσιαστικού ελέγχου στις προσφερόμενες 
υπηρεσίες, 

• η εξάρτηση από τρίτους, 

• η απώλεια εσωτερικής τεχνογνωσίας. 
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• η ενδεχόμενη αδυναμία άμεσης προσαρμογής στις 
απαιτήσεις των πελατών και του οικονομικού περιβάλ¬ 
λοντος, 

• η αδιαφανής κοστολόγηση των προσφερόμενων 
υπηρεσιών, 

• η διαφορά νοοτροπίας μεταξύ ΠΙ και παρόχου, 
κ.λπ. 

2. σε περίπτωση που αποφασίσει να αναθέσει μέρος 
ή και το σύνολο των υπηρεσιών πληροφορικής σε εξω¬ 
τερικούς συνεργάτες, πρέπει να τηρούνται οι αρχές του 
Παραρτήματος 1 της παρούσας Πράξης για: 

• την αξιολόγηση των κινδύνων που απορρέουν από 
μια πιθανή συνεργασία, 

• τον τρόπο επιλογής των εξωτερικών συνεργατών, 

• την επάρκεια των προς υπογραφή συμβολαίων, 

• την εποπτεία και τον έλεγχο της επαρκούς και 
ασφαλούς λειτουργίας των συστημάτων. 

3. η ανάθεση υλοποίησης σημαντικών για το ΠΙ συ¬ 
στημάτων σε τρίτους, θα πρέπει να αιτιολογείται από 
την Ειδική Συντονιστική Επιτροπή Πληροφορικής εγ- 
γράφως προς τη Διοίκηση, η οποία και παρέχει την 
τελική έγκρισή της. 

4. κατά το στάδιο της επιλογής του εξωτερικού συ¬ 
νεργάτη, πέραν της αξιολόγησης των προσφερομένων 
υπηρεσιών θα πρέπει να αξιολογούνται, με βάση το 
μέγεθος και την κρισιμότητα της συνεργασίας: 

• η οικονομική κατάσταση και η μακροπρόθεσμη βι- 
ωσιμότητά του, 

• η επίδραση του προς υπογραφή συμβολαίου στον 
κύκλο εργασιών του, 

• η φήμη του στην αγορά, το πελατολόγιο και ο βαθ¬ 
μός ικανοποίησης των πελατών του, 

• η οργανωτική του δομή (για την παροχή και αποτε¬ 
λεσματική υποστήριξη των υπηρεσιών), 

• η αριθμητική και ποιοτική επάρκεια του στελεχικού 
δυναμικού, 

• η ασφαλιστική του κάλυψη, κλπ. 

Στις περιπτώσεις που ο εξωτερικός συνεργάτης κάνει 
χρήση συνεργιών για την υλοποίηση των έργων θα πρέ¬ 
πει να αξιολογηθούν ανάλογα και οι συνέργιες αυτές. 

5. από τεχνικής άποψης θα πρέπει να αξιολογούνται: 

• η ποιότητα και επάρκεια της υπάρχουσας Πολιτικής 
Ασφάλειας του παρόχου, 

• η αξιοπιστία των συστημάτων, 

• η καταλληλότητα της τεχνολογίας που χρησιμο¬ 
ποιείται, 

• η πληρότητα των διαδικασιών υποστήριξης των πα- 
ρεχομένων υπηρεσιών, 

• τα σχέδια συνέχειας εργασιών και ανάκαμψης από 
καταστροφή του παρόχου. 

Πορίσματα εσωτερικών και εξωτερικών ελεγκτών για 
τον εξωτερικό συνεργάτη - εάν είναι διαθέσιμα - απο¬ 
τελούν πολύτιμες πηγές πληροφόρησης για τη διαμόρ¬ 
φωση πληρέστερης εικόνας. 

6. στο προς υπογραφή συμβόλαιο θα πρέπει - μεταξύ 
άλλων - να περιγράφονται αναλυτικά και με σαφήνεια: 

• τα δικαιώματα και οι υποχρεώσεις των συμβαλλο- 
μένων μερών, 

• το συμφωνηθέν επίπεδο παροχής υπηρεσιών 
(δθΓνίαβ ίθνβΙ ΑςΓΘβπίθπΙ - 31-Α) και ο τρόπος τιμολό¬ 
γησής τους, 

• η δυνατότητα επαναδιαπραγμάτευσης του συμβο¬ 
λαίου. 


• τα θέματα ιδιοκτησίας (οννηθίεΜίρ), αδειοδότησης 
(ΙίαθΠδίης) και πνευματικών δικαιωμάτων, 

• οι περιπτώσεις υπεργολαβίας (δυά-οοηΐΓ3θίίη9), 

• οι διαδικασίες επίλυσης διαφορών, 

• οι διαδικασίες τερματισμού του συμβολαίου (π.χ. οι 
διαδικασίες παράδοσης του πηγαίου κώδικα και των 
δεδομένων τους - Εδοιονν ΑρΓθβπίθηΐ). 

Ειδική αναφορά θα πρέπει επίσης να γίνεται: 

• στην ασφάλεια (εμπιστευτικότητα, ακεραιότητα, 
διαθεσιμότητα και δυνατότητα ανίχνευσης) των πλη¬ 
ροφοριών, 

• στην πιστοποίηση των συναλλασσομένων μερών και 
στη μη αποποίηση των συναλλαγών, 

• στην ασφάλεια των διασυνδέσεων μεταξύ του ΠΙ 
και του εξωτερικού συνεργάτη, 

• στις ποινικές ρήτρες για τις περιπτώσεις παραβία¬ 
σης των συμφωνηθέντων, 

• στη δυνατότητα διενέργειας ελέγχων εκ μέρους 
του ΠΙ (Βίθάΐ ΐο ΑυάΙί), 

• στη δυνατότητα διενέργειας ελέγχων από τρίτους 
για λογαριασμό του ΠΙ, 

• στο είδος και τη συχνότητα των αναφορών ή αρ¬ 
χείων που θα ανταλλάσσουν τα δύο μέρη, 

• στα σχέδια συνέχειας εργασιών και ανάκαμψης από 
καταστροφή του εξωτερικού συνεργάτη. 

Β. ΑΝΑΠΤΥΞΗ ΚΑΙ ΠΡΟΜΗΘΕΙΑ ΣΥΣΤΗΜΑΤΩΝ 

Ο κύκλος ζωής ενός συστήματος πρέπει να χαρακτη¬ 
ρίζεται από διακριτές φάσεις, οι οποίες θα υλοποιούν 
πρότυπα, μεθοδολογίες και διαδικασίες επίσημα κατα- 
γεγραμμένες και εγκεκριμένες. Τέτοιες φάσεις, συνήθως, 
είναι η φάση της Μελέτης Σκοπιμότητας, της Ανάλυσης 
των Επιχειρησιακών Απαιτήσεων και του Καθορισμού των 
Προδιαγραφών, της Τεχνικής Ανάλυσης και του Σχεδια- 
σμού, της Ανάπτυξης, των Δοκιμών, της Αποδοχής και της 
Μεταφοράς στην Παραγωγή, της Λειτουργίας και Υπο¬ 
στήριξης και τέλος της Απόσυρσης. Η μετάβαση από τη 
μία φάση στην άλλη προϋποθέτει την ανασκόπηση και 
έγκριση των αποτελεσμάτων της προηγούμενης. 

Η εποπτεία του έργου της ανάπτυξης κάθε σημαντικού 
συστήματος πρέπει να ανατίθεται στη Συντονιστική 
Επιτροπή της Πληροφορικής (ΙΤ δΐβθπηρ ΟοπιπιΙΐΐθθ). 
Με την ολοκλήρωση της ανάπτυξης του συστήματος, 
η επιχειρησιακή και τεχνική του εποπτεία θα πρέπει 
να ανατίθεται στις αρμόδιες υπηρεσιακές μονάδες ή 
στελέχη. 

Πριν την ανάπτυξη ή προμήθεια ενός σημαντικού συ¬ 
στήματος πρέπει να γίνεται Μελέτη Σκοπιμότητας. Στη 
φάση αυτή θα πρέπει, μεταξύ άλλων, να ορίζονται οι 
λειτουργίες που θα καλύπτονται από το νέο σύστημα, 
να εκτιμάται η σχέση κόστους / οφέλους (μείωση στα 
τρέχοντα κόστη, αύξηση απόδοσης, βελτίωση της ει¬ 
κόνας του ΠΙ) που θα επιφέρει το νέο σύστημα και να 
εξετάζεται η δυνατότητα υλοποίησης του συστήματος 
τόσο από την πλευρά του ανθρώπινου δυναμικού όσο 
και από αυτή του μηχανογραφικού εξοπλισμού / λογι¬ 
σμικού. Τέλος, θα πρέπει να εκτιμάται το κόστος ανά¬ 
πτυξης, λειτουργίας, και υποστήριξης του συστήματος 
και να συγκρίνεται το κόστος εσωτερικής ανάπτυξης με 
αυτό της προμήθειας ή της ανάθεσης σε τρίτους. 

Β1. Ανάπτυξη Συστημάτων 

Στις περιπτώσεις που το ΠΙ επιλέγει την εσωτερική 
ανάπτυξη ενός Πληροφοριακού Συστήματος, θα πρέπει: 
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1. πριν την έναρξη της ανάπτυξης, να ορισθεί Ομάδα 
Έργου που θα αναλάβει την διαχείριση του έργου και 
την κατάρτιση ενός χρονοδιαγράμματος υλοποίησης. 
Η Ομάδα Έργου ανάλογα με την κρισιμότητα και το 
μέγεθος του συστήματος θα πρέπει να απαρτίζεται από 
τον επικεφαλής της, τον υπεύθυνο για την ασφάλεια του 
συστήματος, αναλυτές / προγραμματιστές και εκπρο¬ 
σώπους χρηστών ή άλλων εμπλεκόμενων μερών. 

2. το χρονοδιάγραμμα υλοποίησης να προσδιορίζει, 
μεταξύ άλλων, τις φάσεις, τη διάρκεια τους, και τους 
υπεύθυνους για την υλοποίηση της κάθε φάσης, καθώς 
και τα παραδοτέα. Επιπλέον, στο χρονοδιάγραμμα θα 
πρέπει να προβλέπεται ο ακριβής χρόνος παράδοσης 
μηχανογραφικού εξοπλισμού και άλλων υπηρεσιών από 
προμηθευτές εφόσον επηρεάζει τον χρονοπρογραμμα- 
τισμό του έργου. 

3. να ορίζεται ένα σχέδιο επικοινωνίας, στο οποίο θα 
καθορίζονται οι διαδικασίες ενημέρωσης των εμπλεκο- 
μένων μερών για την πρόοδο του έργου, επικοινωνίας 
των θεμάτων προς επίλυση προς τα ανώτερα στελέχη, 
επικοινωνίας του Πιστωτικού Ιδρύματος με προμηθευτές 
και κοινοποίησης των αλλαγών που θα επιφέρει το νέο 
σύστημα στον οργανισμό. 

4. να λαμβάνονται υπόψη θέματα αποδοχής και απο¬ 
τελεσματικής λειτουργίας του νέου πληροφοριακού συ¬ 
στήματος από το προσωπικό του Πιστωτικού Ιδρύματος 
και να υιοθετείται σχέδιο διαχείρισης των λειτουργικών 
αλλαγών ώστε να αντιμετωπιστούν φαινόμενα μη απο¬ 
τελεσματικής εξυπηρέτησης των πελατών λόγω έλλει¬ 
ψης εξοικείωσης με το νέο πληροφοριακό σύστημα. 

5. οι πληροφορίες που συλλέγονται κατά τη διάρκεια 
της φάσης της Ανάλυσης των Επιχειρησιακών Απαιτή¬ 
σεων και του Καθορισμού των Προδιαγραφών να αφο¬ 
ρούν τα προβλήματα, τις απαιτήσεις και τις ανάγκες 
βελτίωσης που έχουν εντοπίσει οι χρήστες σχετικά με 
το σύστημα. Οι απαιτήσεις θα πρέπει να καθορίζουν 
το τι πρέπει να κάνει το σύστημα και όχι το πώς, ενώ 
οι προδιαγραφές θα πρέπει να προσδιορίζουν σε γε¬ 
νικές γραμμές το πώς θα μπορέσουν να υλοποιηθούν 
οι απαιτήσεις των χρηστών. Κατά τη φάση του καθο¬ 
ρισμού των προδιαγραφών του νέου συστήματος θα 
πρέπει να εξεταστεί κατά πόσο αυτό θα πρέπει να 
συνεργάζεται και σε ποισ επίπεδο με τα υπάρχοντα 
συστήματα ταυ ΠΙ. 

6. να γίνεται εκτίμηση του όγκου των δεδομένων και 
του αριθμού των συναλλαγών πσυ θα διαχειρίζεται το 
νέο σύστημα, λαμβάνσντας υπόψη τις τρέχουσες αλλά 
και τις μελλσντικές ανάγκες έτσι ώστε να πρσσδιορι- 
στσύν με μεγαλύτερη ακρίβεια οι προδιαγραφές του 
μηχανογραφικού εξοπλισμού του συστήματος. 

7. να γίνει λεπτομερής σχεδιασμός για τη διαχείρι¬ 
ση των δεδομένων του προϋπάρχοντος μηχανογρα¬ 
φικού ή μη συστήματος και να περιλαμβάνει θέματα 
εκκαθάρισης παλαιών δεδομένων (άαΐα οίβεηεΐηρ), με¬ 
τατροπής δεδομένων στην μορφή του νέου συστήμα¬ 
τος (ά&ΐα οοηνθΓδίοη) και μετάπτωσης δεδομένων (άαΐα 
πιΙρΓαΐίοη). 

8. στις φάσεις της Τεχνικής Ανάλυσης και του Σχε- 
διασμού να διενεργείται Ανάλυση Κινδύνων και να κα¬ 
θορίζονται με λεπτομέρεια οι απαιτήσεις ασφαλούς 
λειτουργίας του συστήματος σύμφωνα και με όσα 
πρσβλέπει η ισχύουσα Πολιτική Ασφάλειας του ΠΙ, οι 
τεχνικές προδιαγραφές του (οι οποίες περιλαμβάνουν, 


μεταξύ άλλων, τον καθορισμό των παραμέτρων της 
λσγικής ασφάλειας ταυ συστήματος), ο έλεγχος και η 
συμφωνία των δεδομένων και η δομή των απαραίτητων 
αρχείων καταγραφής (αυάΐΐ ΐΓαΙΙδ και Ιορδ) για τα οποία 
θα πρέπει να λαμβάνονται υπόψη οι σχετικές συστάσεις 
της Ευρωπαϊκής Επιτροπής για τα Τραπεζικά Πρότυπα 
(“ΤίΐΘ υεβ οί Αυάίΐ ΤΓαίΙδ ίη δοαυπίγ δγεΐοπίδ: ΘυίάθΙΙπθδ 
ΐοΓ ΕυΓορβαη Β3ηΙ<δ”). 

Στις συγκεκριμένες φάσεις είναι αναγκαία η συνερ¬ 
γασία με τη Μσνάδα Εσωτερικής Επιθεώρησης για τη 
διαμόρφωση των κατάλληλων δικλείδων ασφαλείας, 
καθώς και των ελεγκτικών αρχείων καταγραφής και 
αναφσρών που θα παράγονται για τη διευκόλυνση του 
ελέγχου. Η συνεργασία αυτή δεν επηρεάζει το ελεγκτικό 
έργο της Μονάδας Εσωτερικής Επιθεώρησης για τα εν 
λόγω σύστημα. 

9. η Ανάπτυξη ταυ Συστήματσς να υλσποιείται σε 
ξεχωριστό μηχανσγραφίκό περιβάλλον από αυτό της 
παραγωγής και να ακολουθεί πρότυπα που έχουν τεθεί 
από το ΠΙ (π.χ. χρήση συγκεκριμένων εργαλείων και 
μεθοδσλογίας ανάπτυξης προγραμμάτων) με στόχο την 
ομοιογένεια των Πληροφοριακών Συστημάτων και την 
ευκσλία υποστήριξής τους. 

10. οι Δοκιμές του Συστήματος να διενεργούνται σε 
πρώτη φάση από το προσωπικό της Πληρσφορικής σε 
ξεχωριστό περιβάλλσν με προκαθσρισμένα σενάρια. Σε 
δεύτερη φάση θα πρέπει να γίνονται τεκμηριωμένες και 
ολοκληρωμένες δοκιμές που περιλαμβάνουν: 

• δοκιμές επαναφοράς (ΓθοονβΓγ ΐθδίίηρ) ελέγχοντας 
την δυνατότητα επαναφοράς του συστήματος σε περι¬ 
πτώσεις βλάβης του λογισμικού ή του μηχανογραφικού 
εξοπλισμού, 

• δοκιμές ασφαλείας (δβουΓίΐγ ίθδΐΐηρ) ελέγχσντας 
ότι το σύστημα περιλαμβάνει τις δικλείδες ασφαλείας, 
όπως αυτές προδιαγράφηκαν κατά τον σχεδίασμά του 
συστήματος, 

• δοκιμή αντοχής (δΐΓθδδ ΐθδί) του συστήματος σε 
συνθήκες επεξεργασίας αυξημένσυ όγκου δεδομένων. 

Στις δοκιμές αυτές είναι απαραίτητο να συμμετέχουν, 
πέραν των προγραμματιστών, η Μσνάδα Διασφάλισης 
Ποιότητας (όπου υπάρχει), ο Υπεύθυνος Ασφάλειας 
(δβουΓίΐγ ΟίίίοθΓ) και η Μονάδα Εσωτερικής Επιθεώρη- 
σης. 

11. για την Αποδοχή του Συστήματος να διενεργούνται 
ολοκληρωμένες δοκιμές με όσο το δυνατόν πιο πιστή 
προσομοίωση των συνθηκών παραγωγής. Στην περί¬ 
πτωση που νέο σύστημα αντικαθιστά παλαιότερο θα 
πρέπει τα δύο συστήματα για ένα χρονικό διάστημα να 
λειτσυργήσουν παράλληλα με τα ίδια δεδομένα (ρ3Γ3ΙΙθΙ 
Γυη) και να γίνεται σύγκριση των απστελεσμάτων τους. 
Οι συμμετέχοντες θα πρέπει να αποφασίζουν για την 
αποδοχή ή μη του συστήματος και γνωστοποιούν εγ- 
γράφως την απόφασή τσυς. 

12. η Μεταφορά του νέου Συστήματος στην παραγωγή 
να πραγματοποιείται από εξειδικευμένο προσωπικό (π.χ. 
ΙίάΓαηαηε) βάσει καταγεγραμμένων σδηγιών, σε χρσνική 
περίσδο που δεν εκτελούνται άλλες σημαντικές ερ¬ 
γασίες και με την πρόβλεψη για τη δυνατότητα - σε 
περίπτωση προβλήματος - επαναφοράς στην αρχική 
κατάσταση. 

13. το σύστημα, πριν ακόμη τεθεί σε λειτουργία, να 
διαθέτει πλήρη τεκμηρίωση που θα ακολουθεί συγκεκρι¬ 
μένα ποιστικά πρότυπα που έχουν τεθεί από το ίδιο το 
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ΠΙ. Τα εγχειρίδια της τεκμηρίωσης θα πρέπει να έχουν 
ενιαία μορφή και δομή. 

14. να πραγματοποιείται εκπαίδευση των χρηστών του 
συστήματος σε ξεχωριστό μηχανογραφικό περιβάλλον, 
το οποίο και δεν θα επηρεάζεται από τα μηχανογραφικά 
περιβάλλοντα ανάπτυξης και παραγωγής. Τα συγκεκρι¬ 
μένα περιβάλλοντα συνιστάται να παραμένουν ενεργά 
έτσι ώστε να χρησιμοποιούνται στις περιπτώσεις που 
το σύστημα υφίσταται αλλαγές. 

15. η Λειτουργία και Υποστήριξη του Συστήματος 
να περιλαμβάνει διαδικασίες ελέγχου των αλλαγών 
(αίιαηρθ αοηΐΓοΙ), ελέγχου των εκδόσεων του συστήμα¬ 
τος (νθΓείοηίης), ελέγχου ενημερώσεων του συστήματος 
για την αντιμετώπιση προβλημάτων που εντοπίστηκαν 
(ρ3ΐσΙτίη9), ελέγχου της απόδοσης του συστήματος, λή¬ 
ψης και φύλαξης εφεδρικών αρχείων, συνέχειας των ερ¬ 
γασιών, ενημέρωσης του ΗβΙρ □Θδ1< για την υποστήριξη 
των χρηστών του συστήματος, κα. 

16. η φάση Απόσυρσης του Συστήματος να περιλαμβά¬ 
νει διαδικασίες για τη διατήρηση των πληροφοριών σύμ¬ 
φωνα με τις νομικές και εποπτικές οδηγίες (ίηίοΓπιβίίοη 
ρΓθδθΓναίίοη), τη διαγραφή των πληροφοριών από τα 
μέσα αποθήκευσης (πιβάίβ 53ηίΐίζ3ΐίοη), την απόσυρση 
του υλικού και λογισμικού (άοΓάνναΓθ & εοΐΐννοΓθ άίεροεαΙ). 
Στη συγκεκριμένη φάση πρέπει να διασφαλίζεται η απο¬ 
τελεσματική συνέχεια της λειτουργίας των συστημάτων 
που διασυνδέονται με το σύστημα που αποσύρεται. 

Β2. Προμήθεια Συστημάτων 

Στις περιπτώσεις που το ΠΙ αποφασίζει την προμή¬ 
θεια Πληροφοριακών Συστημάτων, θα πρέπει, εκτός των 
προαναφερθέντων: 

1. η όλη διαδικασία προμήθειας να χαρακτηρίζεται από 
διακριτές φάσεις, οι οποίες θα υλοποιούν πρότυπα, με¬ 
θοδολογίες και διαδικασίες επίσημα καταγεγραμμένες 
και εγκεκριμένες. Τέτοιες φάσεις, είναι αυτές της πρό¬ 
σκλησης για υποβολή προτάσεων (Ββρυθδΐ Ρογ ΡΓοροδοΙ 
- ΒΡΡ) με αναλυτική περιγραφή των αναγκών που θα 
καλύπτει το προς προμήθεια σύστημα, της επιλογής 
του εξωτερικού συνεργάτη, της σύναψης της συμφω¬ 
νίας και της υπογραφής του συμβολαίου, της ένταξης 
και λειτουργίας των συστημάτων στην παραγωγή και, 
τέλος, της εποπτείας και του ελέγχου τους. 

2. η επιλογή του συστήματος να γίνεται με βάση τις 
αναλυτικές προδιαγραφές που οφείλει να θέτει το ΠΙ, 
τις δυνατότητες επέκτασης και προσαρμογής του στις 
διαρκώς αυξανόμενες επιχειρησιακές ανάγκες, τη φιλι¬ 
κότητα προς τον χρήστη, τις δυνατότητες ασφαλούς 
λειτουργίας (λογική ασφάλεια, αυάΐΐ ΐΓοΙΙε & Ιθ 9 δ), το 
επίπεδο υποστήριξης, το σύστημα αναφορών του κλπ. 

3. το είδος παρέμβασης του ΠΙ στο σύστημα να εί¬ 
ναι εκ των προτέρων αυστηρά καθορισμένο. Οι όποιες 
παρεμβάσεις θα πρέπει να ακολουθούν εγκεκριμένες 
και καταγεγραμμένες διαδικασίες, να υλοποιούνται από 
εξειδικευμένο προσωπικό και να διατηρούνται στο ελά¬ 
χιστο δυνατό επίπεδο έτσι ώστε να μην αλλοιώνεται 
η φυσιογνωμία του συστήματος και να είναι εύκολη 
η αναβάθμιση και συντήρησή του. Σημειώνεται ότι, σε 
περίπτωση σημαντικής απόκλισης των λειτουργικών 
διαδικασιών του ΠΙ από εκείνες που υποστηρίζει το 
αγορασθέν σύστημα, το ΠΙ είναι αυτό που συνήθως θα 
πρέπει να προσαρμόσει τις λειτουργικές του διαδικα¬ 
σίες στα χαρακτηριστικά του συστήματος και όχι το 
αντίστροφο. 


4. στα κεντρικά συστήματα τραπεζικών εργασιών, η 
ανάπτυξη περιφερειακών εφαρμογών που θα αντλούν 
πληροφορίες από το κεντρικό σύστημα και θα υλοποι¬ 
ούν τοπικές αλλά και επιχειρησιακές ιδιαιτερότητες 
να γίνεται με βάση τα ισχύοντα στο ΠΙ πρότυπα για 
την ανάπτυξη εφαρμογών, έτσι ώστε να διατηρείται η 
μηχανογραφική ομοιογένεια. 

5. ο τρόπος υποστήριξης των συστημάτων να είναι 
αυστηρά προδιαγεγραμμένος, με σαφή καθορισμό των 
περιπτώσεων στις οποίες απαιτείται υποστήριξη από 
τον πάροχο αλλά και των χρονικών περιθωρίων αντα¬ 
πόκρισής του. 

6. οι περιπτώσεις απομεμακρυσμένης πρόσβασης του 
παρόχου στα συστήματα του ΠΙ για την επίλυση εκτά¬ 
κτων προβλημάτων, να είναι εξαιρετικά περιορισμένες, 
να αντιμετωπίζονται με ιδιαίτερη προσοχή, και σε κάθε 
περίπτωση να υπάρχει πλήρης καταγραφή (Ιορρίηρ) των 
ενεργειών του. 

7. να είναι απαραίτητη η απόκτηση τεχνογνωσίας, όχι 
μόνον μέσω της κατάλληλης εκπαίδευσης του εμπλεκό¬ 
μενου στη λειτουργία τέτοιων συστημάτων προσωπικού, 
αλλά κυρίως μέσω της συμμετοχής του σε όλες τις 
φάσεις εξέλιξης των συστημάτων, έτσι ώστε η εξάρτηση 
του ΠΙ από τον προμηθευτή βαθμιαία να ελαττώνεται. 

8. εφόσον έχουν υλοποιηθεί οι απαιτήσεις του ΠΙ - 
όπως αυτές αναφέρονται στο συμβόλαιο - και μετά 
το πέρας των απαραίτητων δοκιμών εκ μέρους του 
παρόχου, να υφίσταται διαδικασία επίσημης αποδοχής 
και παραλαβής του συστήματος εκ μέρους του ΠΙ με τη 
συμμετοχή όλων των εμπλεκομένων μερών. 

Γ. ΛΕΙΤΟΥΡΓΙΑ ΚΑΙ ΥΠΟΣΤΗΡΙΞΗ 

Η απρόσκοπτη λειτουργία των Πληροφοριακών Συ¬ 
στημάτων και η αποτελεσματική υποστήριξή τους εί¬ 
ναι παράγοντες κρίσιμοι τόσο για την εύρυθμη λειτουρ¬ 
γία του ΠΙ και τη δημιουργία σχέσεων εμπιστοσύνης με 
τους πελάτες, όσο και για την αποτελεσματική αντιμε¬ 
τώπιση του λειτουργικού κινδύνου. Η απρόσκοπτη λει¬ 
τουργία και η αποτελεσματική υποστήριξη των Πληρο¬ 
φοριακών Συστημάτων προϋποθέτουν την τήρηση των 
πολιτικών, προτύπων και διαδικασιών του ΠΙ από όλες 
τις εμπλεκόμενες υπηρεσιακές μονάδες, αλλά και τους 
παρόχους υπηρεσιών πληροφορικής. 

Π. Λειτουργία Συστημάτων 

Ο όρος «Λειτουργία Συστημάτων» αναφέρεται στο 
σύνολο των διαδικασιών που απαιτούνται για την κα¬ 
θημερινή λειτουργία των Πληροφοριακών Συστημάτων 
σε ένα Πιστωτικό Ίδρυμα. Για ένα αποδεκτό επίπεδο 
ασφαλούς και αποτελεσματικής λειτουργίας τους θα 
πρέπει να υφίστανταί: 

1. πλήρης και λεπτομερής καταγραφή του μηχανο¬ 
γραφικού εξοπλισμού (κεντρικά συστήματα, εξυπηρετη- 
τές, προσωπικοί υπολογιστές, περιφερειακά, δίκτυα και 
τηλεπικοινωνίες), του αρχιτεκτονικού σχεδιασμού, του 
χρησιμοποιούμενου λογισμικού, καθώς και του ιστορι¬ 
κού των εκδόσεων, των ενημερώσεων, και των αδειών 
χρήσης. Αρχείο πρέπει να τηρείται επίσης για τα μέσα 
που αποθηκεύουν και διακινούν ευαίσθητα δεδομένα 
του οργανισμού (οαΓίπάρβε, ταινίες, δισκέτες, ΟΟε, εκτυ¬ 
πώσεις, ηηΙοΓοίίοΙίθ κα). Τα αρχεία καταγραφής θα πρέπει 
να ενημερώνονται άμεσα στις περιπτώσεις αλλαγών. 

2. τήρηση πλήρους και ενημερωμένης τεκμηρίωσης 
για κάθε σύστημα με τα επίσημα εγχειρίδια των εται- 
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ρειών που προμηθεύουν το υλικό και το λογισμικό των 
συστημάτων, και τα εγχειρίδια που συντάσσονται από 
το προσωπικό του ΠΙ. 

3. επαρκής συντήρηση και τεχνική υποστήριξη των 
συστημάτων με βάση πάντοτε τις προδιαγραφές τους 
και τις ανάγκες που προκύπτουν. 

4. υποστήριξη των υπαλλήλων-χρηστών εντός, αλλά 
και των πελατών-χρηστών εκτός ταυ οργανισμού (π.χ. 
ηλεκτρονική τραπεζική), η οποία και θα πρέπει να ανα¬ 
τίθεται σε κατάλληλα οργανωμένες και στελεχωμένες 
υπηρεσιακές μανάδες (ΗθΙρ Οθδίί). Στην υπσστήριξη θα 
πρέπει να λαμβάνεται υπάψη το είδος του χρήστη και 
η φύση του προβλήματος που αντιμετωπίζει. Το πλήθος 
και το είδος των προβλημάτων θα πρέπει να καταγρά¬ 
φονται και να τυγχάνουν στατιστικής επεξεργασίας. 

5. διαδικασίες διαχείρισης των παραμέτρων λειτσυρ- 
γίας των συστημάτων. 

6. διαδικασίες απστρσπής εγκατάστασης και χρήσης 
μη εγκεκριμένσυ απά το ΠΙ λογισμικού, καθώς επίσης 
λογισμικού χωρίς την κατάλληλη αδειοδότηση. 

7. προγραμματισμάς των εργασιών πρσς εκτέλεση, 
καταγραφή των προβλημάτων που προκύπτουν και των 
ενεργειών που πρέπει να γίνονται στις έκτακτες περι¬ 
πτώσεις, κλπ. Η επιτυχής ή μη εκτέλεση των προγραμ¬ 
ματισμένων αλλά και έκτακτων εργασιών θα πρέπει να 
καταχωρείται σε ειδικά ημερολόγισ, το οποίο και θα 
φέρει τις υπογραφές του προσωπικού που τις εκτέλεσε. 
Η εκτέλεση έκτακτων εργασιών θα πρέπει να γίνεται 
κατάπιν ειδικής έγκρισης. 

8. έλεγχος των δεδομένων, για εξασφάλιση της ακε- 
ραιάτητας, σρθάτητας και εμπιστευτικάτητάς τους, σε 
άλες τις φάσεις επεξεργασίας τους. Οι κάθε είδους 
ασυμφωνίες θα πρέπει να διαπιστώνσνται και να αντι- 
μετωπίζσνται βάσει καταγεγραμμένων διαδικασιών. 

9. διαδικασίες διαχείρισης της χωρητικότητας, του φόρ¬ 
του και της απόδοσης των συστημάτων και δικτύων. 

10. συνεχής παρακσλσύθηση της διαθεσιμάτητας των 
συστημάτων και των δικτύων. Ειδικότερα για τα κρίσιμα 
συστήματα, το ΠΙ πρέπει να είναι σε θέση να υπολογίζει 
το ποσοστό διαθεσιμότητάς τους σε επίπεδσ έτους 
και να το συγκρίνει με πρσκαθσρισμένσυς στόχους. 
Επιπλέον, το ΠΙ θα πρέπει να διαθέτει διαδικασίες λε¬ 
πτομερούς καταγραφής των συμβάντων μη διαθεσιμά¬ 
τητας (επηρεαζόμενα συστήματα, χρονική διάρκεια μη 
διαθεσιμότητας, αιτία προβλήματος, τρόπος και χρονική 
διάρκεια αντιμετώπισης, συχνάτητα εμφάνισης, κάστος 
για το ΠΙ) και άμεσης ενημέρωσης των αρμάδιων λει- 
τσυργικών μονάδων (Εσωτερικής Επιθεώρησης, Διαχεί¬ 
ρισης Κινδύνων) και της Λισίκησης. 

11. επαρκείς διαδικασίες διαχείρισης αντιγράφων 
ασφαλείας (λεπτομερής αναφορά στο κεφάλαιο Γ4). 

12. ειδικάτερα, για τα συστήματα και τις υπηρεσίες 
Ηλεκτρονικής Τραπεζικής θα πρέπει να υφίστανταί: 

I. επαρκής πληροφόρηση στο διαδικτυακό τόπο (ννοά 
είΐθ) του ΠΙ, έτσι ώστε να μπορούν οι εν δυνάμει πελάτες 
τους να έχουν μια επαρκή γνώση για την ταυτάτητα του 
ΠΙ και την εποπτεύουσα αρχή που παρέχει την άδεια 
λειτουργίας, πριν πραγματοποιήσουν τις ηλεκτρονικές 
τους συναλλαγές. Επίσης, γνωστοπσίηση του τρόπου 
με τον οποίο μπορούν να επικοινωνήσουν οι πελάτες με 
το σχετικά κέντρσ υπσστήριξης σε περίπτωση πάσης 
φύσεως προβλήματσς, τσ ψηφιακό πιστοπσιητικό του 
διαδικτυακού τόπου, το οποίο θα πρέπει να έχει εκδοθεί 


από επίσημη αρχή πιστοπσίησης, πληροφσρίες για την 
ασφαλή χρήση των παρεχομένων υπηρεσιών κ.λπ. 

ίΙ. ενημέρωση των πελατών για την πσλιτική εμπιστευ¬ 
τικότητας πσυ εφαρμόζει τσ ΠΙ σε σχέση με τα προσω¬ 
πικά τσυς δεδομένα. Η πληροφάρηση αυτή συνιστάται 
να παρέχεται και μέσα απά τσ διαδικτυακά τάπο του 
ιδρύματος. Παροχή επίσης στους πελάτες του δικαιώ¬ 
ματος να αρνηθούν την διάθεση - εκχώρηση σε τρίτσυς 
δεδομένων που τους αφορούν, για προώθηση προϊόντων 
ή άλλο λόγο. Τα δεδομένα των πελατών θα πρέπει να 
χρησιμοποιούνται μόνον για τους σκοπούς για τους 
οποίους οι πελάτες γνωρίζουν άτι τα διαθέτουν. 

Ιίί. σαφής σήμανση στο διαδικτυακά τόπο του ΠΙ των 
συνδέσεων (ΙίηΚε) με διαδικτυακούς τόπους άλλων εται¬ 
ρειών ή οργανισμών. Πρέπει να φαίνεται έκδηλα στσν 
πελάτη άτι, άταν εγκαταλείπει το διαδικτυακά τάπο του 
ΠΙ, συνδέεται με μια εντελώς ξεχωριστή επιχειρηματική 
μσνάδα ή άλλη νσμική σντότητα. 

Ιν. αυτοματοποιημένα συστήματα παρακολούθησης 
των συναλλαγών, τα οπαία και θα βασίζσυν την απστε- 
λεσματική λειτουργία τους στη δημισυργία εκ μέρους 
του ΠΙ στατιστικών προτύπων κίνησης λογαριασμού για 
κάθε πελάτη. Τ α συστήματα αυτά, με βάση τα διαμορ¬ 
φωμένα χαρακτηριστικά κίνησης των λογαριασμών των 
πελατών (ρισΐΙΙθε), θα πρέπει να εντοπίζσυν και να κα¬ 
ταγράφουν ασυνήθιστες συναλλακτικές συμπεριφορές 
και να παράγουν, σε πραγματικά χράνο, προειδσποιη- 
τικά μηνύματα (αΙβΓΐε) για τη διερεύνηση ενδεχάμενων 
περιπτώσεων απάτης. 

V. απστελεσματική αντιμετώπιση των κινδύνων νομι- 
μσπσίησης εσάδων από εγκληματικές δραστηριότητες 
(πιοηογ Ιαυηάοηης) και χρηματοδότησης της τρομοκρατί¬ 
ας. Οι συγκεκριμένοι κίνδυνοι στην ηλεκτρονική τραπεζι¬ 
κή είναι ιδιαίτερα αυξημένοι λόγω της ευκολίας χρήσης 
των υπηρεσιών από οπσυδήπστε και οπσιαδήποτε χρσ- 
νική στιγμή, της απρόσωπης φύσης των συναλλαγών και 
της αυτόματης διεκπεραίωσής τους. Ως εκ τούτου, το ΠΙ 
θα πρέπει να μεριμνά για την εγκατάσταση αυτοματσ- 
ποιημένων συστημάτων και εργαλείων διαχείρισης των 
συναλλαγών, τα οποία κατ’ ελάχιστον θα θέτουν άρια 
σε συγκεκριμένες ομάδες ή κατηγορίες συναλλαγών, 
θα παρέχουν τη δυνατάτητα καθυστέρησης εκτέλεσης 
της συναλλαγής μέχρι την εξακρίβωση συγκεκριμένων 
στοιχείων (ίΙΙΐβΓδ & πιοηΐίοπηρ ΐοοίδ/εγεΐοπίδ) κ.λπ. 

νΙ. δυνατάτητα εύκολης προσπέλασης και επεξεργα¬ 
σίας στοιχείων παλαιάτερων συναλλαγών, έτσι ώστε 
να γίνεται εφικτός ο εντοπισμός συναλλακτικών ιδι- 
αιτερστήτων και ανωμαλιών, για να διευκσλύνεται η 
στοιχειοθέτηση αποδεικτικών στοιχείων και η επαρ¬ 
κής πληροφόρηση των εποπτικών αρχών, ειδικά στις 
περιπτώσεις απάτης και νομιμοπσίησης εσάδων απά 
εγκληματικές δραστηριότητες και χρηματοδότησης της 
τρομσκρατίας, παροχής επενδυτικών υπηρεσιών κλπ. 

νϋ. εγχειρίδια σε ηλεκτρονική ή έντυπη μορφή, τα 
οποία θα ενημερώνουν τους πελάτες για τον τρόπο χρή¬ 
σης των συστημάτων με έμφαση σε θέματα ασφάλειας. 
Επιπλέον, το ΠΙ θα πρέπει να εφοδιάζει τους χρήστες 
με πρακτικές ασφαλσύς χρήσης των προσωπικών υπσ- 
λογιστών μέσω των σποίων προσπελαύνονται ορισμένα 
συστήματα ηλεκτρσνικής τραπεζικής και ηλεκτρσνικών 
πληρωμών. Στις πρακτικές αυτές θα πρέπει να γίνεται 
αναφορά, μεταξύ άλλων, σε θέματα προστασίας απά 
ιούς και άλλο κακόβουλο λογισμικό, ασφαλούς απο- 
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θήκευσης και χρήσης προσωπικών κωδικών (ειδικά σε 
υπολογιστές κοινής χρήσης οι οποίοι γενικά θα πρέπει 
να αποφεύγονται για τέτοια χρήση). 

νίϋ. επαρκείς διαδικασίες ασφάλειας με έμψαση στη 
πιστοποίηση των συναλλασσομένων μερών (ψηψιακά 
πιστοποιητικό διαδικτυακού τόπου ΠΙ, πιστοποίηση δύο 
επιπέδων για τον πελάτη, με χρήση ψηφιακών πιστοποι¬ 
ητικών, Τ.Α.Ν. Ιίδΐε ή άλλης μεθόδου), τη μη αποποίηση 
των συναλλαγών, την κρυπτογράφηση της επικοινωνίας, 
την ασφάλεια των συναλλαγών (αποδεικτικά στοιχεία 
επιτυχούς ολοκλήρωσης, αποσύνδεση σε περίπτωση 
ανενεργού χρήστη, εντοπισμός ύποπτων συναλλαγών 
κ.λπ.), και τέλος τη λειτουργία των συστημάτων που 
υποστηρίζουν τις εν λόγω υπηρεσίες σε ειδικές περιοχές 
του δικτύου που παρέχουν υψηλή προστασία από κακό¬ 
βουλες ενέργειες εσωτερικών ή εξωτερικών χρηστών. 

Γ2. Φυσική Ασφάλεια 

Ο όρος «Φυσική Ασφάλεια» αναφέρεται στα μέτρα 
που πρέπει να λαμβάνονται για την προστασία των 
συστημάτων και της υποδομής που τα υποστηρίζει, 
από κινδύνους που προέρχονται από το περιβάλλον. 
Ανάλυση κινδύνων είναι απαραίτητο να προηγείται της 
λήψης μέτρων, αφού οι απαιτήσεις φυσικής ασφάλειας 
δεν είναι δυνατόν να είναι οι ίδιες για όλες τις περιο¬ 
χές και χώρους που στεγάζουν συστήματα, ούτε και η 
κρισιμότητα των συστημάτων είναι η ίδια μέσα σε μια 
συγκεκριμένη περιοχή ή χώρο. 

Στα μέτρα φυσικής ασφάλειας πρέπει τουλάχιστον 
να περιλαμβάνονται: 

1. μηχανισμοί ελέγχου φυσικής πρόσβασης (ΡίιγδίααΙ 
Ασοθδδ ΟοηΐΓοΙδ). Τέτοιοι μηχανισμοί πρέπει να περι¬ 
ορίζουν, να ελέγχουν και να καταγράφουν, αφ’ ενός 
μεν την είσοδο και την έξοδο του προσωπικού και των 
επισκεπτών, αφ’ ετέρου δε τη διακίνηση μηχανογραφι¬ 
κού εξοπλισμού και αποθηκευτικών μέσων. Μηχανισμοί 
ελέγχου φυσικής πρόσβασης θα πρέπει να υφίστανται, 
όχι μόνο σε χώρους που στεγάζουν μηχανογραφικό 
εξοπλισμό, αλλά και σε χώρους ή σημεία στα οποία 
υπάρχουν καλωδιώσεις που συνδέουν κρίσιμα συστή¬ 
ματα, υποστηρικτικές συσκευές (π.χ. μονάδες παροχής 
αδιάλειπτης τάσης, γεννήτριες), μαγνητικά μέσα στα 
οποία φυλάσσονται αρχεία, κλπ. Επιπλέον, η υλοποίηση 
τέτοιων μηχανισμών δεν θα πρέπει να περιορίζεται μόνο 
στους χώρους των μηχανογραφικών κέντρων, αλλά να 
επεκτείνεται και οπουδήποτε αλλού υπάρχει η σχετική 
ανάγκη (τοπικά συστήματα καταστημάτων και διευθύν¬ 
σεων). Το είδος των μηχανισμών ελέγχου που υλοποι¬ 
ούνται θα πρέπει να καθορίζεται από την κρισιμότητα 
των συστημάτων που καλούνται να προστατεύσουν. 

2. μηχανισμοί πρόληψης και αντιμετώπισης καταστρο¬ 
φών από φυσικά αίτια. 

3. μηχανισμοί πρόληψης και αντιμετώπισης κακόβου¬ 
λων ενεργειών (διάρρηξη / κλοπή, βανδαλισμός, τρομο¬ 
κρατική ενέργεια, κ.λπ.). Οι συγκεκριμένοι κίνδυνοι, όπως 
και οι κίνδυνοι από φυσικά αίτια, εκτός του ότι μπορεί να 
προκαλέσουν ολοσχερή καταστροφή των συστημάτων 
και των δικτύων, είναι δυνατό να διακυβεύσουν τις ζωές 
του προσωπικού. 

4. μηχανισμοί πρόληψης και αντιμετώπισης προβλημά¬ 
των από διακοπή λειτουργίας και παροχής υπηρεσιών 
ή βλάβη υποστηρικτικών συσκευών. Τα συστήματα είναι 
απαραίτητο να λειτουργούν σε ένα αποτελεσματικά 
υποστηριζόμενο τεχνικά περιβάλλον. 


5. η αποτελεσματική διαχείριση της τηλεπικοινωνια¬ 
κής και δικτυακής καλωδίωσης για την αντιμετώπιση 
θεμάτων φθοράς, παρεμβολών και έλλειψης κατάλληλης 
σήμανσης. 

6. μηχανισμοί ασφάλειας φορητών συστημάτων. Η 
χρήση των φορητών υπολογιστών και οποιωνδήποτε 
άλλων φορητών συστημάτων θα πρέπει να λαμβάνε- 
ται σοβαρά υπόψη στην ανάλυση κινδύνων. Φορητοί 
υπολογιστές που αποθηκεύουν ευαίσθητα εταιρικά 
δεδομένα θα πρέπει, αψενός μεν να φυλάσσονται σε 
ασφαλή σημεία όταν δεν είναι σε χρήση, αφετέρου δε 
να αποθηκεύουν τα ευαίσθητα δεδομένα σε κρυπτο- 
γραφημένη μορφή. 

7. η ασφαλής μεταφορά και αποθήκευση των ευαί¬ 
σθητων εγγράφων και μαγνητικών μέσων. Στην πρώτη 
κατηγορία ανήκουν οι διαβαθμισμένες αναφορές, οι 
εφεδρικοί κωδικοί εισόδου των διαχειριστών συστη¬ 
μάτων, τα συνθηματικά των πελατών μέχρι να τους 
αποσταλούν, η τεκμηρίωση των συστημάτων και εφαρ¬ 
μογών, τα Σχέδια Συνέχειας Εργασιών και Ανάκαμψης 
από Καταστροφή, κα. Στην δεύτερη ανήκουν τα εφεδρι¬ 
κά αντίγραφα αρχείων, το πλαστικό υλικό των καρτών 
συναλλαγών κ.λπ. 

8. η επιλογή και κατάλληλη διαμόρφωση των χώρων 
με σκοπό την ελαχιστοποίηση των προανοφερθέντων 
κινδύνων, σε σχέση πάντοτε με τη χρήση για την οποία 
προορίζονται και την κρισιμότητα των συστημάτων που 
στεγάζουν. 

Γ3. Λογική ασφάλεια 

Ο όρος «λογική ασφάλεια» αναφέρεται στο σύνολο 
των μέτρων που λαμβάνονται για τον περιορισμό της 
πρόσβασης στους πόρους των συστημάτων (εγεΐθηη 
ΓθεουΓαβδ). Ως πόροι των συστημάτων θεωρούνται ο 
μηχανογραφικός εξοπλισμός, τα δίκτυα, το λογισμικό 
και τα δεδομένα. Τα μέτρα που υλοποιούν την λογική 
ασφάλεια καθορίζουν όχι μόνον το «ποιος» ή «τι» (π.χ. 
πρόγραμμα) θα έχει πρόσβαση σε συγκεκριμένους πό¬ 
ρους του συστήματος, αλλά και το είδος της πρόσβα¬ 
σης που επιτρέπεται να έχει. Τ α μέτρα αυτά μπορεί να 
είναι ενσωματωμένα στα λειτουργικά συστήματα, να 
υλοποιούνται σε προγράμματα εφαρμογών, σε συστή¬ 
ματα διαχείρισης βάσεων δεδομένων, σε συστήματα 
επικοινωνιών ή ακόμη να υλοποιούνται μέσω πρόσθετων 
αυτόνομων πακέτων ασφάλειας. 

Για την διατήρηση ενός αποδεκτού επιπέδου λογικής 
ασφαλείας, κρίνεται σκόπιμο: 

(α) για την ασφάλεια των προσβάσεων στα συστήματα 

1. να έχουν όλοι οι χρήστες ένα μοναδικό ατομικό 
λογαριασμό πρόσβασης σε κάθε σύστημα και μόνο για 
τους πόρους εκείνους που δικαιούνται πρόσβαση, ώστε 
κάθε ενέργεια να χρεώνεται μονοσήμαντα. Ως εκ τού¬ 
του, κοινοί - ομαδικοί λογαριασμοί πρόσβασης δεν θα 
πρέπει να χρησιμοποιούνται, και όπου αυτό δεν είναι 
εφικτό, θα πρέπει οι ενέργειες των κατόχων των λογα¬ 
ριασμών αυτών να καταγράφονται και να ελέγχονται 
σχολαστικά. 

2. να υπάρχουν καταγεγραμμένες και εγκεκριμένες 
διαδικασίες για τη διαχείριση των λογαριασμών πρό¬ 
σβασης, τον καθορισμό και την αναθεώρηση των δι¬ 
καιωμάτων που παρέχονται στον κάθε λογαριασμό για 
όλα τα στάδια της εργασιακής πορείας του ιδιοκτή¬ 
τη του λογαριασμού (πρόσληψη, μετακίνηση, αλλαγή 
αντικειμένου εργασίας, αποχώρηση κ.λπ.). Να υπάρχει 
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διαχωρισμός αρμοδιοτήτων στην έγκριση, υλοποίηση 
και έλεγχο των προσβάσεων. 

3. να καταγράφονται και να ελέγχονται συστηματικά 
οι ενέργειες που γίνονται με χρήση λογαριασμών πρό¬ 
σβασης με προνομιακά δικαιώματα, όπως λογαριασμών 
διαχειριστών συστημάτων και γενικά χρηστών με αυ¬ 
ξημένα δικαιώματα. 

4. οι λογαριασμοί πρόσβασης να απενεργοποιούνται 
άμεσα μόλις παύουν να είναι απαραίτητοι ή σε περίπτω¬ 
ση σημαντικής παραβίασης των κανόνων ασφάλειας. 

5. να υπάρχει συγκεκριμένη διαδικασία που να προ¬ 
βλέπει τη δημιουργία προσωρινών λογαριασμών πρό¬ 
σβασης, με καθορισμένο επίπεδο εξουσιοδοτήσεων, για 
συγκεκριμένες εργασίες ή για περιπτώσεις ανάγκης. Η 
χρήση των λογαριασμών αυτών θα πρέπει να ελέγχεται 
σχολαστικά, και μόλις εκλείψει η ανάγκη για την οποία 
δημιουργήθηκαν θα πρέπει να απενεργοποιούνται. 

6. να πιστοποιείται ο ιδιοκτήτης ενός λογαριασμού 
πρόσβασης, κατά τη διαδικασία εισόδσυ του στο σύ¬ 
στημα μέσω μιας διαδικασίας υψηλής ασφάλειας (όπως 
π.χ. κωδικός εισόδου, χρήση «έξυπνης» κάρτας, ψηφιακού 
πιστοποιητικού κ.λπ.) 

7. να αλλάζονται άμεσα οι κωδικοί πρόσβασης που 
έχουν τεθεί από τις κατασκευάστριες εταιρίες σε κάθε 
νέο τεχνολογικό εξοπλισμό μετά την παραλαβή του. 

8. οι κωδικοί πρόσβασης: 

• να δημιουργούνται και να γίνεται η διαχείρισή τους 
βάσει προτύπων και διαδικασιών 

• να είναι δύσκολα προβλέψιμοι 

• να διατηρούνται μυστικοί με ευθύνη των κατόχων 
τους 

• να αλλάζουν σε τακτική βάση και οπωσδήποτε την 
πρώτη φορά εισόδου του κατόχου τους στο σύστημα. 
Η αλλαγή των κωδικών να επιβάλλεται από το σύστη¬ 
μα, και να κρατείται ιστορικό αλλαγών για την αποφυ¬ 
γή επανάληψης των ίδιων κωδικών, εφόσον αυτό είναι 
εφικτό 

9. οι εφεδρικοί κωδικοί των διαχειριστών συστημάτων 
ή λογαριασμών ειδικών προνομίων θα πρέπει να βρί¬ 
σκονται αποθηκευμένοι σε ασφαλές σημείο, ώστε να 
μπορούν να χρησιμοποιηθούν βάσει ειδικής διαδικασίας 
σε περίπτωση έκτακτης ανάγκης. 

10. όπου κρίνεται αναγκαίο, οι κωδικοί πρόσβασης 
λογαριασμών ειδικών προνομίων θα πρέπει να μη φυ¬ 
λάσσονται ενιαίοι, αλλά σε τμήματα με ευθύνη διαφο¬ 
ρετικών ατόμων. 

11. να χρησιμοποιείται - όπου είναι εφικτό - ειδικό 
λογισμικό διαχείρισης και ελέγχου των προσβάσεων. 

(β) για την προστασία των δεδομένων 

1. να υπάρχουν επαρκείς ενσωματωμένοι μηχανισμοί 
ελέγχου (οοηίΓοΙε) των δεδομένων στα διάφορα συστή¬ 
ματα, και ειδικότερα, στην προετοιμασία, εισαγωγή, και 
επεξεργασία τους. 

2. να υπάρχει καταγεγραμμένη και εγκεκριμένη δια- 
βάθμιση των δεδομένων σύμφωνα με το βαθμό ευαισθη¬ 
σίας τους και να προβλέπονται επιπλέον διαδικασίες 
ασφάλειας των ευαίσθητων δεδομένων μέσω τεχνικών 
κρυπτογράφησης ή άλλων μεθόδων προστασίας. 

3. για την κρυπτογράφηση: 

• να καθορίζεται σαψώς το πότε και σε ποιο επίπεδο 
γίνεται κρυπτογράφηση 

• να χρησιμοποιείται υψηλής ασφάλειας κλειδί κρυ¬ 
πτογράφησης σε όλο το λογισμικό 


• να αναπτύσσεται στρατηγική υποδομής Δημόσιου 
Κλειδιού Ρ.Κ.Ι. (ρυάΐίο 1<θν ίηίΓεεΐΓυοΐυΓβ) για τη διαχείριση 
των ψηφιακών πιστοποιητικών, κυρίως για την επικοινω¬ 
νία του ΠΙ με τους πελάτες του για παροχή υπηρεσιών 
ηλεκτρονικής τραπεζικής 

• να επιδιώκεται η συμμόρφωση με τους εθνικούς και 
διεθνείς κανονισμούς και πρακτικές κρυπτογράφησης 

4. να γίνονται οι απαραίτητες ενέργειες για τη συμ¬ 
μόρφωση με τη σχετική νσμοθεσία και τσυς κανονι¬ 
σμούς Προστασίας Δεδομένων. 

5. να υπάρχει πολιτική σχετικά με την ενημέρωση 
των πελατών στην περίπτωση διαρροής εμπιστευτικών 
προσωπικών τους δεδομένων λόγω παραβίασης της 
ασφάλειας των συστημάτων. 

6. για τις βάσεις δεδομένων: 

• να υπάρχει ολοκληρωμένη και ακριβής τεκμηρίωση 
της βάσης που να περιλαμβάνει τουλάχιστον τον λο¬ 
γικό σχεδίασμά, τσν φυσικό σχεδίασμά και το λεξικό 
δεδομένων 

• να γίνεται αναδιοργάνωση της βάσης σε τακτά χρο¬ 
νικά διαστήματα 

• να εξασφαλίζεται η καταχώρηση μόνο ολοκληρω¬ 
μένων συναλλαγών (οοπιηηίί / ωΙΙόαοΚ) 

(γ) για την προστασία των συστημάτων 

1. να υπάρχει εγκαταστημένο κατ’ ελάχιστο στα κρί¬ 
σιμα συστήματα, και όπου αλλού είναι αναγκαίο ειδικό 
λογισμικό προστασίας από ισύς ή άλλο «κακόβουλο» 
λογισμικό. Το λογισμικό προστασίας θα πρέπει να ενημε¬ 
ρώνεται σε συνεχή βάση και να είναι εγκαταστημένο με 
τέτοιο τρόπο ώστε να ενεργοποιείται αυτόματα και να 
μην μπορεί να απενεργοποιηθεί από τους χρήστες των 
συστημάτων, παρά μόνο από τον αρμόδιο διαχειριστή. 

2. να παρέχεται αποτελεσματική προστασία σε ευ¬ 
αίσθητους πόρους των συστημάτων, όπως τα αρχεία 
συστήματος και εφαρμογών. 

3. να συντηρείται αρχείο με το εγκεκριμένο από το 
ΠΙ λογισμικό 

4. να απεγκαθίσταται ή να απενεργοποιείται σε κάθε 
σύστημα, κάθε λογισμικό ή λειτουργία που δεν κρίνεται 
απαραίτητη. 

5. να ενεργοποιούνται τουλάχιστον οι βασικές λει¬ 
τουργίες ελέγχου και καταγραφής (ευάίΐΐηρ & Ιοςρίηρ 
ίυηοίίοηε) σε κάθε σύστημα και να παραμετροποιούνται 
κατάλληλα σε συνεργασία με τον εσωτερικό έλεγχο. 

6. να εξασφαλίζεται όπου αυτό είναι αναγκαίο, κατόπιν 
σχετικής εγκριτικής διαδικασίας, η συνεχής ενημέρωση 
των συστημάτων με τις τελευταίες εκδόσεις λογισμικού 
και ενημερώσεων σε θέματα ασφάλειας, ώστε να ελαχι¬ 
στοποιούνται οι αδυναμίες και τα τρωτά τους σημεία. 

7. να υπάρχουν καταγεγραμμένες διαδικασίες αποκα¬ 
τάστασης της ασφαλούς λειτουργίας ενός συστήματος 
σε περίπτωση που παραβιαστεί η ασφάλειά του. 

8. να προστατεύεται, όσο αυτό είναι εψικτό, το ηλε¬ 
κτρονικό ταχυδρομείο από πιθανούς κινδύνους αναξι¬ 
όπιστης γνησιότητας του αποστολέα, υποκλοπής ή και 
παραποίησης του περιεχομένου, επικίνδυνων προσαρ¬ 
τημάτων, ανεπιθύμητων μηνυμάτων κ.λπ. 

9. να υπάρχουν περιορισμοί στις ενέργειες των χρηστών 
του Διαδικτύου (π.χ. στις προσβάσεις σε συγκεκριμένους 
διαδικτυακούς τόπους, στη διακίνηση αρχείων κ.λπ.). 

10. να γίνεται συνεχής εκπαίδευση και ενημέρωση 
των χρηστών σε θέματα ασφαλούς λειτουργίας των 
συστημάτων. 
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11. να προστατεύονται αποτελεσματικά τα κρίσιμα 
συστήματα από κακόβουλες ενέργειες εξωτερικών ή 
εσωτερικών χρηστών. Προς αυτή την κατεύθυνση οφεί¬ 
λουν να υλοποιούνται διάφορες τεχνικές, όπως: 

• η χρήση ειδικών συστημάτων (ίίΐθννεΙΙε, ίίΐΐεηηρ ΓουΐθΓε 
κ.λπ.), τα οποία, ως σημεία ελέγχου των προσβάσεων, 
θα ρυθμίζουν και θα ελέγχουν την επικοινωνία από και 
προς περιοχές του δικτύου οι οποίες είναι συνήθως 
εκτεθειμένες σε αυξημένους κινδύνους 

• η δημιουργία στο δίκτυο ειδικών περιοχών 
(ΟθπιίΙίΙαπζθά Ζοηβε - ϋΜΖ), ανάμεσα σε σημεία ελέγχου 
προσβάσεων, οι οποίες να λειτουργούν σαν απομονω¬ 
μένο δίκτυο για τα προσβάσιμα από εσωτερικούς ή 
εξωτερικούς χρήστες συστήματα του ΠΙ, προστατεύ¬ 
οντας έτσι αποτελεσματικά το υπόλοιπο δίκτυο από 
κακόβουλες ενέργειες 

(δ) για την ασφάλεια της δικτυακής υποδομής και 
των επικοινωνιών 

1. να είναι σαφώς καθορισμένες, καταγεγραμμένες 
και ελεγχόμενες οι δίοδοι επικοινωνίας (ραίονναγε) με 
εξωτερικά δίκτυα. 

2. να εκτιμάται η δυνατότητα κατάτμησης (εβρπίθηίείίοη) 
του δικτύου σε ελεγχόμενα επί μέρους υποδίκτυα για 
τον καλύτερο έλεγχο των προσβάσεων. 

3. να μην παραμένουν ανοιχτές λογικές θύρες επικοι¬ 
νωνίας (ροΓΐε) σε κάθε συσκευή του δικτύου, επιπλέον 
όσων έχουν καθοριστεί σαφώς ως αναγκαίες για τις 
υπηρεσίες που υποστηρίζουν και αφού έχει συνεκτιμηθεί 
ο συνεπαγόμενος κίνδυνος από τη λειτουργία τους. 

4. να περιορίζεται και να ελέγχεται επαρκώς η πρό¬ 
σβαση στις ειδικές λειτουργίες διαχείρισης και ελέγχου 
του δικτύου. 

5. να υπάρχει αποτελεσματική διαχείριση των παρα¬ 
μετροποιήσεων των συσκευών του δικτύου. 

6. να υπάρχει η δυνατότητα εντοπισμού από το δια¬ 
χειριστή του δικτύου λειτουργίας μη εξουσιοδοτημένων 
συσκευών. 

7. να περιορίζονται στα απολύτως απαραίτητα τα 
σημεία πρόσβασης στο δίκτυο τα οποία βρίσκονται 
σε χώρους μη ελεγχόμενης φυσικής πρόσβασης, και 
εφόσον δε χρησιμοποιούνται να είναι ανενεργό. 

8. να περιορίζεται και να ελέγχεται συστηματικά η 
δυνατότητα ασύρματης σύνδεσης χρηστών στο δίκτυο, 
ώστε να αποτρέπεται η παρείοφρηση μη εξουσιοδοτη¬ 
μένων χρηστών σε αυτό. 

9. να μην παρέχεται η δυνατότητα απομεμακρυσμέ- 
νης πρόσβασης στο δίκτυο, και όπου κρίνεται αναγκαία 
τέτοια πρόσβαση, να καταγράφεται και να ελέγχεται 
συστηματικά. Ειδικότερα, σε περίπτωση πρόσβασης στο 
δίκτυο χρηστών μέσω τηλεφωνικής σύνδεσης (όίεΙ υρ), 
αυτή να πραγματοποιείται κατόπιν διαδικασίας επιστρο¬ 
φής κλήσης (αεΙΙ Ι33α1<) ή άλλης κατάλληλης μεθόδου 
επαλήθευσης του καλούντος. 

10. να χρησιμοποιούνται τα κατάλληλα πρωτόκολλα 
επικοινωνίας ανάλογα με το είδος των δεδομένων που 
μεταδίδονται, αντιμετωπίζοντας αποτελεσματικά θέμα¬ 
τα διαχείρισης και αοφάλειάς τους. 

11. να εξασφαλίζεται η εμπιστευτικότητα και η ακε¬ 
ραιότητα των δεδομένων που μεταδίδονται μέσω του 
δικτύου καθ’ όλη τη διαδρομή τους σε αυτό. 

12. να γίνεται χρήση ειδικών εργαλείων λογισμικού για 
τον εντοπισμό κενών ασφαλείας ή σημείων μειωμένης 
ασφάλειας στο δίκτυο (νυΙηβΓ&όίΙίΐγ ΐβεΐε). 
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13. να υπάρχουν διαδικασίες και συστήματα παρακο¬ 
λούθησης, αποτροπής και αντιμετώπισης προσπαθειών 
παρείοφρησης στο δίκτυο ή γενικότερα προσπαθει¬ 
ών παραβίασης της ασφάλειας του δικτύου (ίηίΓυείοη 
όθΐθαΐίοη/ρΓθνβηΐίοη εγεΐοπιε). 

14. να διενεργούνται σε τακτική βάση, από ειδικευ¬ 
μένες εταιρίες, δοκιμαστικές απόπειρες παραβίασης 
της ασφάλειας του δικτύου (ρθΠθίΓβΐίοη ΐβείε), βάσει 
καθορισμένων σεναρίων, με στόχο την αξιολόγηση της 
επάρκειας της ασφάλειας του δικτύου. 

Γ4. Σχέδια Συνέχειας Εργασιών και Ανάκαμψης από 
Καταστροφή 

Το ΠΙ πρέπει να διαθέτει εγκεκριμένα από τη Διοίκηση 
Σχέδια Συνέχειας Εργασιών (ΣΣΕ) για τα Πληροφορι¬ 
ακά Συστήματα, ενταγμένα στα γενικότερα εταιρικά 
ΣΣΕ, έτσι ώστε να εξασφαλίζεται η συνέχεια των κρι¬ 
σιμότερων λειτουργιών τους. Επιπλέον, το ΠΙ πρέπει να 
διαθέτει αποτελεσματικά Σχέδια Ανάκαμψης από Κατα¬ 
στροφή (ΣΑΚ) που θα εφαρμόζονται στις περιπτώσεις 
καταστροφικών συμβάντων που μπορεί να προκαλέσουν 
παρατεταμένη διακοπή της λειτουργίας ενός κρίσιμου 
συστήματος, ή ακόμη και ολόκληρου του μηχανογρα¬ 
φικού κέντρου. 

Της δημιουργίας ΣΣΕ και ΣΑΚ θα πρέπει να προηγού¬ 
νται διαδικασίες ανάλυσης επιχειρηματικών επιπτώσεων 
(όυείηβδδ ίπιρβαΐ 3η&1γδίδ) και ανάλυσης κινδύνων (πδΚ 
3δδθδδπΐΘηΐ). Βάσει αυτών: 

• θα προσδιορίζονται όλες οι κρίσιμες λειτουργίες 
καθώς και τα συστήματα-πόροι που χρησιμοποιούν 

• θα προσδιορίζονται όλοι οι κίνδυνοι που απειλούν 
τις κρίσιμες λειτουργίες και θα κατατάσσονται σύμφω¬ 
να με την πιθανότητα εμφάνισής τους και τις πιθανές 
επιπτώσεις τους στα συστήματα και τις λειτουργίες 

• θα σταθμίζεται το λειτουργικό κόστος από ενδεχόμενη 
διακοπή των κρίσιμων λειτουργιών και το κόστος ενεργο¬ 
ποίησης του ΣΣΕ & ΣΑΚ για να προσδιορίζονται οι συνθήκες 
που θα θέτουν σε εφαρμογή το αντίστοιχο σχέδιο 

• θα προσδιορίζεται ο χρόνος ανάκαμψης των κρι- 
σίμων λειτουργιών - συστημάτων (ΓθοονβΓγ ΐΐπΐθ) αλλά 
και το σημείο ανάκαμψης (ΓβοονβΓγ ροίηί), δηλαδή σε 
πόσο χρόνο και σε ποια εικόνα χρονικά θα επανέλθουν 
τα συστήματα μετά την ανάκαμψη 

Πρώτο επίπεδο εξασφάλισης συνέχειας εργασιών θε¬ 
ωρείται η ύπαρξη σχεδίου λήψης και διαχείρισης αντι¬ 
γράφων ασφαλείας του λογισμικού, των παραμέτρων 
λειτουργίας και των δεδομένων, καθώς και η ύπαρξη 
του αναγκαίου εφεδρικού εξοπλισμού, συσκευών παρο¬ 
χής αδιάλειπτης τάσης, ηλεκτρογεννητριών κ.λπ., στους 
χώρους λειτουργίας των συστημάτων. 

Με στόχο την εξασφάλιση της γρήγορης και επιτυ¬ 
χούς ανάκτησης των δεδομένων και του λογισμικού, 
θα πρέπει για τα αντίγραφα ασφαλείας να υφίστανται 
συγκεκριμένες διαδικασίες: 

• δημιουργίας με συχνότητα που υπαγορεύεται από 
τη κρισιμότητα των πληροφοριών 

• ασφαλούς φύλαξης στο χώρο των συστημάτων 

• ασφαλούς μεταφοράς και φύλαξης σε απομεμακρυ- 
σμένο χώρο των επιπλέον αντιγράφων 

• δοκιμών για τη διασφάλιση της ακεραιότητας των 
δεδομένων 

• αρχειοθέτησης με αναγραφή στα μέσα αποθήκευ¬ 
σης του περιεχομένου και του χρόνου αποθήκευσης 
των δεδομένων 

• ανακύκλωσης των μαγνητικών μέσων 
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Σε δεύτερο επίπεδο, ένα ολοκληρωμένο και αποτελε¬ 
σματικό ΣΣΕ & ΣΑΚ για τα ΠΣ, συνιστάταί: 

1. να είναι γραμμένο σε απλή και κατανοητή γλώσσα 
και να κσινσπσιείται επίσημα σε όλσ το προσωπικό. 
Τυχόν διαβαθμισμένες πληροφορίες του σχεδίου (όπως 
π.χ. κωδικοί, κλείδες ασφαλείας κ,λπ.), θα πρέπει να γνω- 
στοποισύνται μόνο σε εξουσιοδστημένσ πρσσωπικό. 

2. αντίγραφό ταυ να φυλάσσεται σε κατάλληλο χώρο 
σε ασφαλή απάσταση από το μηχανογραφικό κέντρο. 

Ένα τέτοιο σχέδιο θα πρέπει να περιλαμβάνει: 

3. κατάταξη των συστημάτων βάση λειτσυργικής ανά¬ 
γκης. Στην κατάταξη αυτή θα πρέπει, μεταξύ άλλων, να 
αναφέρεται σ χράνος που απαιτείται για την ανάκτηση 
(ΓθοονβΓγ ΐίπιθ) του κάθε συστήματος καθώς και η ελά¬ 
χιστη εκτιμώμενη απόδοσή του μετά την ανάκτηση. 

4. τη σαφή ιεραρχική δομή των στελεχών που συμ¬ 
μετέχουν στην εφαρμσγή του, τις αρμοδιότητές τους, 
καθώς και τους υπεύθυνους λήψης αποφάσεων σε κάθε 
σμάδα έκτακτης ανάγκης. 

5. τις διαδικασίες εκτίμησης του εύρους της κατα¬ 
στροφής, με βάση τις σποίες πρσσδιορίζονται επακρι¬ 
βώς τα τμήματα ταυ σχεδίου τα οποία θα πρέπει να 
ενεργοποιηθούν. 

6. τις διαδικασίες ενεργοπσίησης του σχεδίου, ειδο¬ 
ποίησης των στελεχών και κινητοπσίησης των αμάδων 
έκτακτης ανάγκης. 

7. τις ενέργειες που θα εκτελούνται σε συγκεκριμένες 
επείγσυσες καταστάσεις, σι σποίες μεταξύ των άλλων 
θα πρέπει να διασφαλίζουν το προσωπικό σε περίπτωση 
κινδύνου / καταστροφής (π.χ. φωτιά, σεισμάς κ.λπ.). 

8. τους εναλλακτικούς χώρους εργασίας των χρηστών, 
τον εξοπλισμά που θα χρησιμοποιηθεί, καθώς και τις 
απαιτούμενες προδιαγραφές τους. 

9. τις διαδικασίες προετοιμασίας και ενεργοπσίησης 
του εναλλακτικού μηχανογραφικού κέντρου. 

10. τα συστήματα του εναλλακτικού κέντρου, την υπο¬ 
δομή τους καθώς και την τοπολογία δικτύου. 

11. λίστα πρσμηθευτών με τους οποίους υπάρχουν 
συμβάσεις, οι υπηρεσίες που αυτοί προσφέρουν και οι 
αναμενόμενοι χρόνοι απόκρισής τσυς σε περίπτωση 
έκτακτης ανάγκης. 

12. τις διαδικασίες που εξασφαλίζουν ότι τα σχέδια 
συντηρούνται, προσαρμόζονται και ενημερώνονται σε 
κάθε αλλαγή στις διαδικασίες λειτουργίας του ΠΙ. 

13. τις διαδικασίες εκπαίδευσης τσυ πρσσωπικού σύμ¬ 
φωνα με τις αρμσδιότητες πσυ αναλαμβάνουν κατά την 
υλοποίηση του Σχεδίου. 

14. τις διαδικασίες εκτέλεσης δοκιμών, σύμφωνα με 
τις οποίες: 

• θα προσδιορίζεται η συχνάτητά τους (κατ’ ελάχιστο 
μία φορά το χράνο) 

• θα υπάρχουν σαφείς στάχσι εκ των προτέρων, είτε 
για την εξέταση συγκεκριμένων υποσυστημάτων, είτε 
για την εξέταση τσυ συστήματος στο σύνολά του. Η 
εκτέλεση δοκιμών της τελευταίας κατηγορίας συνιστά- 
ται να περιλαμβάνει την πλήρη κάλυψη όλων των κρί¬ 
σιμων λειτσυργιών όπως αναγράφσνται στο σχέδιο και 
να κάνει αποκλειστική χρήση τσυ εναλλακτικού χώρου, 
του εξοπλισμού και των εφεδρικών αντιγράφων 

• θα διεξάγονται υπά συνθήκες που θα προσομοιώ¬ 
νουν περιπτώσεις έκτακτης ανάγκης 

• θα εξασφαλίζεται η συμμετοχή της Μονάδας Εσω¬ 
τερικής Επιθεώρησης 


• θα συντάσσεται έκθεση των αποτελεσμάτων μετά 
την ολσκλήρωσή των δοκιμών 

• θα γίνονται οι απαραίτητες διορθώσεις στα σχέδια 
για άλα τα προβλήματα που διαπιστώνονται 

• θα λαμβάνει γνώση των απστελεσμάτων η Δισίκηση 
και η Επιτροπή Ελέγχου 

Τέλος, θα πρέπει: 

15. να εξασφαλίζει την απστελεσματική λειτουργία 
εναλλακτικού μηχανογραφικού κέντρου, το οποίο θα 
πρέπει να βρίσκεται σε κατάλληλη απόσταση, ώστε να 
μην επηρεάζεται απά τους ίδιους κινδύνους που μπο¬ 
ρεί να πλήξουν το κύριο μηχανογραφικά κέντρο. Το 
εναλλακτικό κέντρο θα πρέπει να διαθέτει κατάλληλο 
(εφεδρικά) εξοπλισμό που να παρέχει όλες τις κρίσιμες 
υπηρεσίες στσυς χρόνσυς που έχουν προκαθοριστεί, 
καθώς και τα εγχειρίδια των διαδικασιών και χρήσης 
των συστημάτων. Επιπλέον, θα πρέπει να επιτρέπει την 
απράσκοπτη χρήση των εναλλακτικών μέσων μέχρι τη 
στιγμή της επαναφοράς των λειτουργιών στο κύριο 
μηχανογραφικό κέντρο. 

16. να διασφαλίζει τη φυσική ασφάλεια του εναλλα¬ 
κτικού κέντρου, καθώς και ένα βασικό επίπεδσ λογικής 
ασφάλειας κατά την εφαρμογή του σχεδίου. 

17. να φροντίζει για την ασφαλιστική κάλυψη του ΠΙ 
απέναντι σε κινδύνσυς πσυ είναι δυνατάν να πρσκα- 
λέσουν διακοπή της λειτουργίας των Πληροφοριακών 
Συστημάτων. 

18. σε περίπτωση που οι χώροι λειτουργίας του εναλ¬ 
λακτικού κέντρου, ο εξοπλισμάς ή οι υπηρεσίες παρέ¬ 
χονται από τρίτους: 

• να προνοεί, μέσω κατάλληλων συμβάσεων, για την 
απστελεσματική συνέχεια των εργασιών σε περίπτω¬ 
ση καταστρσφής που θα πλήξει ταυτόχρονα πολλούς 
οργανισμούς οι οποίοι εξυπηρετούνται από τον ίδιο 
πάροχο 

• να φροντίζει για την ενημέρωση του παρόχου για τυ¬ 
χόν αλλαγές στα συστήματα που πιθανό να απαιτήσουν 
αντίστοιχες προσαρμογές-ενημερώσεις στα ΣΑΚ 

Δ. ΕΑΕΓΧΟΣ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ 

Μια αποτελεσματική ελεγκτική λειτουργία για τα Πλη¬ 
ροφοριακά Συστήματα θα πρέπει να εστιάζεται στσυς 
κινδύνους που απορρέουν από την ανάπτυξη, ενσωμά¬ 
τωση και λειτσυργία τσυς, να εξετάζει την επάρκεια 
των ελεγκτικών μηχανισμών (ασηΐΓοΙε) και διαδικασιών, 
και να προτείνει, άπου χρειάζεται, τις κατάλληλες τρο¬ 
ποποιήσεις. Επιπλέον, θα πρέπει να αξιολογεί το βαθμό 
συμμόρφωσης με την επιχειρησιακή στρατηγική και τις 
καταγεγραμμένες επιχειρησιακές πολιτικές, τα πρότυ¬ 
πα και τις διαδικασίες, και να παρακολσυθεί το βαθμό 
συμμόρφωσης με τις διαπιστώσεις των πορισμάτων των 
ελέγχων. Τέλος θα πρέπει να υπάρχει ολοκληρωμένη 
εικάνα για τη λειτουργία των Πληροφοριακών Συστη¬ 
μάτων ώστε να δίνεται η δυνατότητα επαρκούς ενημέ¬ 
ρωσης σε τακτική βάση της Επιτρσπής Ελέγχσυ. 

Για τους λόγους αυτούς, η υπηρεσιακή Μονάδα υ Εσω¬ 
τερικής Επιθεώρησης θα πρέπει: 

1. να διαθέτει την τεχνσγνωσία, την ποιστική και πο- 
σστική επάρκεια πρσσωπικσύ, μέσων και διαδικασιών 
για τη διενέργεια εξειδικευμένων ελέγχων στα Πληρο¬ 
φοριακά Συστήματα. Η τεχνσγνωσία και η εκπαίδευση 
του προσωπικού θα πρέπει να είναι τέτοιες ώστε να 
καλύπτσνται ελεγκτικά οι τρέχουσες και οι μελλοντικές 
μηχανογραφικές λειτουργίες του ΠΙ. 
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2 . να καταρτίζει και να υλοποιεί ελεγκτικό πρόγραμμα, 
το οποίο θα βασίζεται σε ανάλυση κινδύνων που έχει 
διενεργηθεί στα Πληροφοριακά Συστήματα αλλά και 
σε ευρήματα προγενέστερων ελέγχων. 

3. να ακσλσυθεί καταγεγραμμένες διαδικασίες σχε- 
διασμσύ, οργάνωσης και διενέργειας των ελέγχων, 
συγγραφής των πσρισμάτων καθώς και διαδικασίες 
επανελέγχσυ (ίσΙΙονν-υρ). Οι διαδικασίες αυτές, τα κάθε 
είδσυς ερωτηματολάγια που χρησιμοποιούνται στους 
εξειδικευμένους ελέγχους, καθώς και η χρησιμοποιού¬ 
μενη μεθοδολογία ανάλυσης μηχανογραφικών κινδύνων, 
θα πρέπει να αποτελούν την επίσημη τεκμηρίωση της 
λειτσυργίας τσυ ελέγχου των Πληροφοριακών Συστη¬ 
μάτων. 

4. να παρακσλουθεί τα θέματα που αφορούν στα Πλη- 
ροφσριακά Συστήματα του ΠΙ, ώστε να διαμσρφώνει 
εικάνα για τους κινδύνους που υπάρχουν ή ενδέχεται 
να ανακύψουν. Για τη διαμάρφωση άσο το δυνατάν πλη- 
ρέστερης εικάνας, συνιστάται η παρακολούθηση της 
λειτσυργίας των Πληρσφοριακών Συστημάτων μέσω 
ειδικών προσβάσεων, η συμμετοχή στις διάφορες επι¬ 
τροπές έργων και η ύπαρξη διαδικασιών και μηχανι¬ 
σμών άμεσης ενημέρωσης της Μονάδας Εσωτερικής 
Επιθεώρησης στις περιπτώσεις εμφάνισης σημαντικών 
προβλημάτων και εκτάκτων περιστατικών. 

5. να κάνει χρήση - ανάλογα με την περίπτωση - ει- 
δικσύ ελεγκτικσύ λογισμικού για τον αποτελεσματικά- 
τερο έλεγχο της ασφάλειας των συστημάτων και της 
ακεραιάτητας των δεδομένων τους. 

6 . να συμμετέχει στη φάση σχεδιασμσύ των συστη¬ 
μάτων για τη διαμόρφωση των κατάλληλων δικλείδων 
ασφαλείας, των ελεγκτικών αρχείων καταγραφής και 
αναφσρών που παράγονται για τη διευκάλυνση του 
ελέγχου, καθώς και στη φάση των δοκιμών. 

7. να ελέγχει και να αξιολογεί τις διαδικασίες παρα¬ 
γωγής των στοιχείων που υποβάλλονται στη Διοίκηση 
του ΠΙ και τις Εποπτικές Αρχές, ώστε να διασφαλίζεται 
η πληράτητα και ακρίβειά τσυς. 

8 . να μεριμνά για την άμεση και πλήρη ενημέρωση, 
στις περιπτώσεις σοβαρών προβλημάτων και έκτακτων 
περιστατικών στα Πληροφσριακά Συστήματα (περιπτώ¬ 
σεις απάτης, παραβίασης της ασφάλειας σημαντικών 
συστημάτων, μη διαθεσιμότητας κρισίμων συστημάτων, 
ενεργοποίησης Σχεδίων Ανάκαμψης απά Καταστροφή), 
της αρμάδιας υπηρεσιακής μονάδας της Διεύθυνσης 
Επσπτείας Πιστωτικού Συστήματος της Τράπεζας της 
Ελλάδος, σύμφωνα με τις ισχύσυσες διατάξεις. 

9. να ελέγχει και να αξιολσγεί την επάρκεια και συμ¬ 
μόρφωση με τις διαδικασίες που διέπουν τις φάσεις 
συνεργασίας του ΠΙ (επιλογή συνεργάτη, σύναψη και 
τήρηση συμβολαίου, ποιάτητα παρεχάμενων υπηρεσιών) 
με πρσμηθευτές και παράχους μηχανσγραφικών υπηρε¬ 
σιών βάσει των προαναφερθέντων στην ενάτητα Α3. 

10 . να επιβλέπει τσ ελεγκτικά έργα στα συστήματα 
πληροφορικής σε επίπεδο ομίλου. Για το σκοπό αυτό 
οφείλει να διατηρεί διαύλους επικοινωνίας με στόχο 
την αποτελεσματική συνεργασία με τις διοικήσεις και 
τον εσωτερικό έλεγχο των θυγατρικών και του δικτύου 
καταστημάτων εξωτερικού. Να αξιολογεί την επάρκεια 
του ελεγκτικού έργου μέσω περιοδικών αναφορών ή 
και συμμετοχής του στις Επιτροπές Ελέγχου των θυ¬ 
γατρικών, ειδικά σε αυτές που το μέγεθος και η πολυ- 
πλοκότητα των συστημάτων τσ καθιστσύν αναγκαίσ. 


Να αξιολσγεί την επάρκεια των διενεργσύμενων εξει- 
δικευμένων ελέγχων απά εσωτερικούς και εξωτερικούς 
ελεγκτές. Να προβαίνει σε γενικούς ή ειδικούς ελέγ¬ 
χους ανά περίπτωση, για την κάλυψη των ελεγκτικών 
αναγκών που είτε δεν καλύπτονται επαρκώς απά τον 
εσωτερικό έλεγχο των εν λόγω μονάδων, είτε κρίνονται 
απαραίτητοι απά τη σχετική ανάλυση κινδύνων. 

11 . να μελετά, αξισλσγεί και εφαρμάζει, όπσυ κρίνει 
πράσφορο, τα διεθνή πράτυπα και μεθοδσλσγίες ελέγ¬ 
χου Πληροφοριακών Συστημάτων. 

Σε ά,τι αφορά στους ελέγχους που ανατίθενται σε 
εξωτερικούς ελεγκτές, το ΠΙ θα πρέπει να διαθέτει πο¬ 
λιτική για το εύρος και το ράλο του εξωτερικού ελέγ¬ 
χου στα Πληροφοριακά Συστήματα, καθώς και διαδι¬ 
κασίες αξιολόγησης των πρσσφερομένων υπηρεσιών. 
Η πολιτική θα πρέπει να τεκμηριώνει τις περιπτώσεις 
που ο εξωτερικός έλεγχος δρα, είτε παράλληλα με τον 
εσωτερικό προσφέροντας μια επιπλέον εξειδικευμένη 
άποψη, είτε συμπληρωματικά προκειμένσυ να καλύψει 
εξειδικευμένες ελεγκτικές απαιτήσεις όπου δεν υπάρχει 
η δυνατάτητα να καλυφθούν εσωτερικά, ή και με τσυς 
δύο τράπους. 

Παράρτημα 3 

ΠΕΡΙΕΧΟΜΕΝΟ ΤΗΣ ΕΚΘΕΣΗΣ ΑΞΙΟΑΟΓΗΣΗΣ 
ΤΟΥ ΣΕΕ ΑΠΟ ΑΝΕΞΑΡΤΗΤΟΥΣ ΕΞΩΤΕΡΙΚΟΥΣ ΕΛΕΓΚΤΕΣ 

Η συντασσάμενη έκθεση των ανεξάρτητων εξωτερι¬ 
κών ελεγκτών απά εταιρεία ορκωτών ελεγκτών στους 
οποίους ανατίθεται η αξιολάγηση της επάρκειας του 
Συστήματος Εσωτερικού Ελέγχου (ΣΕΕ) του πιστωτικού 
και χρηματοδοτικού ιδρύματος κατά τις διατάξεις της 
παρ. 4.1 - ενάτητα Β2α - Κεφ. IV της παρούσας Πράξης 
περιλαμβάνει τα ακάλουθα: 

I. ΑΝΤΙΚΕΙΜΕΝΟ ΤΗΣ ΑΞΙΟΛΟΓΗΣΗΣ ΚΑΙ ΒΑΣΙΚΕΣ ΔΙ¬ 
ΑΠΙΣΤΩΣΕΙΣ ΤΗΣ ΕΚΘΕΣΗΣ 

1. Η αξιολάγηση της επάρκειας του ΣΕΕ πραγματοποι¬ 
είται με βάση τις βέλτιστες διεθνείς πρακτικές^ με στά- 
χο να διασφαλίζονται τα σχετικά με το ΣΕΕ οριζάμενα 
στην παρούσα Πράξη. Η αξιολάγηση αφορά τη δεδομένη 
χρονική στιγμή κατά την σποία πραγματοποιείται. 

2. Η αξιολάγηση της επάρκειας του ΣΕΕ περιλαμβάνει 
επισκόπηση: 

(I) του περιβάλλοντος ελέγχου, 

(ϋ) της διαδικασίας εκτίμησης των κινδύνων, 

(ϋί) των ελεγκτικών μηχανισμών και δικλείδων ασφα¬ 
λείας, 

(Ιν) του συστήματος επικοινωνίας και πληροφόρησης, και 

(ν) του ρόλου και της ευθύνης της Διοίκησης, των 
εσωτερικών ελεγκτών και του λοιπού προσωπικού. 

3. Πριν την έναρξη του έργου, η Επιτροπή Ελέγχου 
του πιστωτικού ιδρύματος, θα πρέπει να προσδιορίζει 
τις μονάδες και θυγατρικές που θα συμπεριληφθούν 
στο έργο ( 8 οορίη 9 ). Ο προσδιορισμάς θα στηρίζεται στη 
σημαντικάτητα κάθε μσνάδας και θυγατρικής, καθώς 
επίσης και σε άλλα πσιστικά κριτήρια. Το εύρος του 
έργου (δοορβ) θα τίθεται εγκαίρως υπάψη της Τρά¬ 
πεζας της Ελλάδος (Διεύθυνση Εποπτείας Πιστωτικού 
Συστήματος). 

4. Με την ολοκλήρωση τσυ έργου υποβάλλεται έκθε¬ 
ση με έκφραση γνώμης του ανεξάρτητου εξωτερικού 
ελεγκτή ως προς την επάρκεια του συστήματος εσω¬ 
τερικού ελέγχου άπου θα καταγράφονται οι βασικές 
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διαπιστώσεις σχετικά με τις ελεγκτικές διαδικασίες και 
θα περιλαμβάνεται γενική κρίση για την επάρκεια του 
ΣΕΕ. Θα καταγράφονται τυχάν «ουσιώδεις αδυναμίες», 
άπως αυτές ορίζονται στα Διεθνή Ελεγκτικά Πράτυπα. 

II. ΕΙΔΙΚΟΤΕΡΑ ΑΝΤΙΚΕΙΜΕΝΑ ΤΟΥ ΕΡΓΟΥ ΤΗΣ ΑΞΙΟ¬ 
ΛΟΓΗΣΗΣ 

Στο αντικείμενο του έργου θα πρέπει να περιλαμβά¬ 
νονται μεταξύ άλλων τα παρακάτω: 

Α. Οργανωτική δομή 

1.1 Θα εξετάζεται η οργανωτική δομή του πιστωτικού 
ιδρύματος (οργανάγραμμα, Διοίκηση, Επιτροπές) και θα 
γίνονται παρατηρήσεις σχετικά με τη διάρθρωσή της. 

1.2 Θα εξετάζεται αν το γενικάτερο πλαίσιο εταιρι¬ 
κής διακυβέρνησης είναι σύννομο και εξασφαλίζει την 
έγκαιρη και ακριβή γνωστοποίηση όλων των σημαντικών 
θεμάτων που αφορούν το πιστωτικό ίδρυμα. 

1.3 Θα εξετάζεται η επάρκεια του συστήματος παρα¬ 
γωγής των απαραίτητων στοιχείων και η συμμόρφωση 
με το κατά περίπτωση αντίστοιχο θεσμικό πλαίσιο. 

1.4 Θα εξετάζεται ο ρόλος του Δ.Σ. ως προς τη δια¬ 
σφάλιση της επάρκειας του ΣΕΕ. 

1.5 Θα γίνονται σχόλια σχετικά με την τυχόν σύγκρου¬ 
ση αρμοδιοτήτων, τους μηχανισμούς ελέγχου (ίουΓ θγβε 
ρΓΐηοΙρΙβ) και το διαχωρισμό των λειτουργιών πωλήσεων 
(ίΓοηΐ Ιίηβ) από τις λειτουργίες επιβεβαίωσης, λογιστι- 
κοποίησης και ελέγχου (ά3θΙ< οίίΐοθ) σύμφωνα με τις 
διατάξεις της Πράξης. 

1.6 Θα εξετάζεται η διαδικασία κατάρτισης του ετή¬ 
σιου προϋπολογισμού στα πλαίσια της στρατηγικής του 
πιστωτικού ιδρύματος και οι διαδικασίες που ακολου¬ 
θούνται σε περίπτωση αποκλίσεων. 

2. Βάσει του οργανογράμματος, για κάθε μία από τις 
μονάδες του πιστωτικού ιδρύματος που θα συμπεριλη- 
φθούν στο έργο, αφού γίνει αναγνώριση της υφιστάμε¬ 
νης κατάστασης, θα εξετάζεται κατά πόσο το σύστη¬ 
μα εσωτερικού ελέγχου είναι επαρκές και κατάλληλα 
τεκμηριωμένο. 

Β. Διαχείριση Κινδύνων 

1.1. Θα αξιολογείται ο ρόλος της Επιτροπής Διαχείρι¬ 
σης Κινδύνων (αν υφίσταται). 

1.2. Θα εξετάζεται κατά πόσο υπάρχουν μηχανισμοί 
προσδιορισμού, ανάλυσης, ελέγχου και διαχείρισης κάθε 
μορφής κινδύνου που ενέχει η λειτουργία του πιστωτι¬ 
κού ιδρύματος (σε επίπεδο πιστωτικού ιδρύματος και 
Ομίλου κατά το κεφάλαιο I παρ. 3 του παρόντος πα¬ 
ραρτήματος). 

1.3. Ιδιαίτερη αναφορά θα γίνεται στην αντιμετώπι¬ 
ση του κινδύνου έλλειψης ρευστότητας σε κατάσταση 
εκτάκτου ανάγκης. 

1.4. Αναφορά θα γίνεται στην ανεξαρτησία, τις αρμοδι¬ 
ότητες και το έργο της Μονάδας Διαχείρισης Κινδύνων 
και του επικεφαλής της. 

1.5. Αν το πιστωτικό ίδρυμα δραστηριοποιείται και στο 
εξωτερικό, θα εξετάζεται αν υπάρχουν διαφορετικές 
διαδικασίες διαχείρισης των κινδύνων σε κάθε χώρα. 


' Αναφέρονται ενδεικτικά, τα Διεθνή Ελεγκτικά Πράτυπα 
(ΙηίθΓηεϋοηεΙ δίβηάβτάε οη Αυάϋίηρ εηά ΙηίθΓηεϋοηεΙ δίεηάετάε 
οί ΑΒευτΆποθ ΕηρερβτηβηΐΒ), τα Διεθνή Επαγγελματικά Πράτυπα 
Εσωτερικού Ελέγχου (βίεπάετάε ίοτ ΡτοίθεείοπεΙ ΡτεοΙίοβ οί 
ΙηίθτηεΙ Αυάίϋηρ) και τα υποδείγματα οργάνωσης του Συστή¬ 
ματος Εσωτερικού Ελέγχου 0030 (Οοτητηίηβθ οί δροηεοηηρ 
Οίρειηίζειΐιοηε οί ίίιβ Ττοβάννεγ Οοτητηίεείοη) 


1.6. Σε περίπτωση σχεδιασμού νέων προϊόντων θα 
εξετάζεται η διαδικασία αξιολόγησης των κινδύνων πριν 
την εμπορική τους προώθηση. 

2.1. Κατά την αξιολόγηση μονάδων που εμπλέκονται 
στη διαδικασία παροχής πίστης, στα πλαίσια αξιολόγη¬ 
σης των διαδικασιών, θα εξετάζεται η αντικειμενικότητα 
της διαδικασίας αξιολόγησης αιτημάτων και έγκρισης 
πιστωτικών ορίων στους πελάτες, τα εργαλεία που χρη¬ 
σιμοποιούνται για την αξιολόγηση (συστήματα ΟΓθάίΐ 
εαοΓίηρ ή ΟΓθάίΐ ΓΗίίηρ), ο τρόπος παρακολούθησης των 
εξασφαλίσεων των πιστοδοτικών υπολοίπων, η τήρηση 
των εγκεκριμένων όρων πιστοδότησης, η λήψη μέτρων 
για τα μη εξυπηρετούμενα δάνεια και η μεταφορά των 
υπολοίπων σε λογαριασμούς καθυστερήσεων, καθώς 
και η δυνατότητα παρακολούθησης των κινδύνων σε 
επίπεδο συνολικού χαρτοφυλακίου του πιστωτικού 
ιδρύματος. 

2.2. Ειδική αναφορά θα γίνεται στις διαδικασίες πιστο- 
δοτικών διευκολύνσεων προς πρόσωπα που διατηρούν 
ειδική σχέση με το πιστωτικό ίδρυμα και στη διασφά¬ 
λιση της μη προνομιακής τους μεταχείρισης. 

Γ. Λογιστικό Σύστημα 

1. Κατά τον έλεγχο των συστημάτων λογιστικής παρα¬ 
κολούθησης των εργασιών θα αξιολογείται η επάρκεια 
του ΣΕΕ ως προς την κατάρτιση αξιόπιστων οικονομι¬ 
κών καταστάσεων και ως προς την παροχή, μέσω του 
συστήματος διοικητικής πληροφόρησης του πιστωτικού 
ιδρύματος (ΜδηερβΓηβηΐ ΙηίοΓπιβίίοη Βγείβητι) αξιόπιστων 
οικονομικών στοιχείων για τη λήψη αποφάσεων. 

Δ. Συστήματα Πληροφορικής 

Θα αξιολογείται η επάρκεια των συστημάτων πληρο¬ 
φορικής έχοντας ως βάση το Παράρτημα 2 της παρού¬ 
σας Πράξης, και ειδικότερα οι περιοχές: 

1. Οργάνωση και Διοίκηση Πληροφορικής. 

2. Ανάπτυξη και Προμήθεια Συστημάτων. 

3. Λειτουργία Συστημάτων. 

4. Φυσική και Λογική Ασφάλεια. 

5. Ηλεκτρονική Τραπεζική. 

6. Σχέδια Συνέχειας Εργασιών και Ανάκαμψης από 
Καταστροφή. 

Ε. Κανονιστική συμμόρφωση 

1. Θα αξιολογείται η Μονάδα Κανονιστικής Συμμόρ¬ 
φωσης (αν δεν υφίσταται, το προσωπικό που έχει επι- 
φορτισθεί με τα σχετικά καθήκοντα) ως προς την ανε¬ 
ξαρτησία της, τη δυνατότητα πρόσβασης σε όλες τις 
απαιτούμενες πηγές πληροφόρησης, την έγκαιρη και 
έγκυρη επικοινωνία των ευρημάτων της και την αποτε¬ 
λεσματική ενσωμάτωση των αλλαγών που συντελούνται 
στο κανονιστικό πλαίσιο. 

2. Ειδική αναφορά θα γίνεται ως προς την επάρκεια 
των διαδικασιών σχετικά με την πρόληψη και καταστολή 
της νομιμοποίησης εσόδων από εγκληματικές δραστη¬ 
ριότητες και της χρηματοδότησης τρομοκρατίας και 
ειδικότερα ως προς τη διαδικασία ταξινόμησης κατά 
βαθμίδα κινδύνου των συναλλαγών και των συναλλασ- 
σομένων ή συνδυασμού τους. 

ΣΤ. Εσωτερικός Έλεγχος 

1. Θα αξιολογείται η Επιτροπή Ελέγχου ως προς την 
ιδιότητα των μελών της, τις αρμοδιότητές της, την 
εμπλοκή της στη διαδικασία του ελέγχου, την ετήσια 
έκθεση για την επάρκεια του ΣΕΕ και την ενημέρω¬ 
ση προς το Δ.Σ. Αναφορικά με τη Μονάδα Εσωτερικής 
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Επιθεώρησης, θα εξετάζεται αν διασφαλίζεται η ανε¬ 
ξάρτητη λειτσυργία της, εξετάζσντας τη θέση της στο 
οργανόγραμμα και τη σχέση της τόσο με τη Διοίκηση, 
όσο και με την Επιτροπή Ελέγχου. 

2. Θα αξιολογούνται οι πρακτικές και η μεθοδολογία 
εσωτερικού ελέγχου, η οποία θα συγκρίνεται με ενδε- 
δειγμένες πρακτικές. 

3. Θα γίνεται, δειγματοληπτικά, αξιολόγηση της επάρ¬ 
κειας των εκθέσεων ελέγχου της Μονάδας Εσωτερικής 
Επιθεώρησης της Τράπεζας και των θυγατρικών της. 

4. Θα εξετάζεται η διαδικασία παρακολούθησης της 
συμμόρφωσης των ελεγχόμενων μονάδων με τις ειση¬ 
γήσεις των εσωτερικών ελεγκτών. 


Ζ. Όμιλος 

Για τις θυγατρικές που θα περιλαμβάνονται στο έργο 
θα αξιολογείται η επάρκεια του ΣΕΕ τους κατά τον 
ίδιο τρόπο που θα ακολουθηθεί και για το πιστωτικό 
ίδρυμα. 

III. ΕΥΡΗΜΑΤΑ 

Την έκθεση έκφρασης γνώμης θα συνοδεύει αναλυτι¬ 
κή έκθεση ευρημάτων. 

Διευκρινίζεται ότι η ως άνω έκθεση αξιολογείται από 
την Επιτροπή Ελέγχου, η δε ποιότητα αξιολόγηση αυτής 
αποτελεί κριτήριο για τον έλεγχο της εκπλήρωσης των 
υποχρεώσεων της εν λόγω Επιτροπής από την Τράπεζα 
της Ελλάδος, κατά τις διατάξεις της παρούσας Πράξης. 
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